Real Virus

[Chrislall]

Bonjour
C'est mon tour, je suis infecté par cette saloperie de Real Virus qui me propose d'acheter cet antivirus. J'ai fait comme indiqué le scan en mode "sans échec" de SDFix et à la fin, il m'indique qu'il n'a pas trouvé le dossier spécifié ????? Je joins le fichier txt que j'ai sur le bureau :
file copied: C:WINDOWSsystem32user32.dll -> C:WINDOWSsystem32dllcacheuser32.dll ( 579584 bytes )
Qui pourra m'aider ?
En tout cas merci d'avance.

[r@in | b0w]

Bonjour.

1_ Tu suis ce tutorial et tu postes le rapport d'analyse dans ton prochain message.

2_ Si tu es sous Vista:

Tu télécharges Gmer en version .ZIP que tu décompresses ensuite sur le Bureau.

Tu fais un clic-droit sur le fichier puis tu cliques sur Extraire ici pour décompresser l'archive (si tu n'as pas de décompresseur, prends 7 zip par exemple).

Tu double-cliques sur l'icône Gmer.exe pour le lancer.

Tu cliques ensuite sur l'onglet Rootkit puis sur Scan pour démarrer l'analyse.

Si Gmer trouve un rootkit, il affichera la ligne en rouge.
Tu cliques droit sur la ligne puis sur Kill the process si cette option est disponible puis dans tous les cas tu cliques droit sur Delete the service pour supprimer le rootkit.

Dans tous les cas, si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis ces deux tutoriaux:

_ le guide pour faire une impression écran;

_ comment l'héberger sur internet.


Si tu es sous Xp:

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

[Chrislall]

Voici l'analyse d'hijackthis renommé Sniffle.exe


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:09, on 01/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWiFiinS24EvMon.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
c:program filesfichiers communslogitechlvmvfmLVPrcSrv.exe
C:WINDOWSsystem32agrsmsvc.exe
C:Program FilesAskBarDisarinAskService.exe
C:Program FilesIntelWiFiinEvtEng.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32IoctlSvc.exe
C:Program FilesFichiers communsIntelWirelessCommonRegSrvc.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32LVCOMSX.EXE
C:WINDOWSsystem32ElkCtrl.exe
C:Program FilesBrotherBrmfcmonBrMfcWnd.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesBrotherControlCenter3rccMCtl.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:WINDOWSsystem32frmwrk32.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesIncrediMailinIMApp.exe
C:Program FilesBrotherBrmfcmonBrMfimon.exe
C:WINDOWSExplorer.EXE
C:Program FilesIncrediMailinIncMail.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsChristianBureauSniffle.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:Program FilesTechSmithSnagIt 9SnagItBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:Program FilesAskBarDisarinaskBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayer pbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:WINDOWSAUTOLO~1AL2DLL.dll (file missing)
O3 - Toolbar: Barre de Traduction IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:Program FilesFichiers communsIdiomaX SharedCat 6.0TrdIEAddIn.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:Program FilesTechSmithSnagIt 9SnagItIEAddin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:Program FilesAskBarDisarinaskBar.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechCameraService(E)] C:WINDOWSsystem32ElkCtrl.exe /automation
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [BrMfcWnd] C:Program FilesBrotherBrmfcmonBrMfcWnd.exe /AUTORUN
O4 - HKLM..Run: [ControlCenter3] C:Program FilesBrotherControlCenter3rctrcen.exe /autorun
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [Framework Windows] frmwrk32.exe
O4 - HKLM..Run: [SpywareCleaner] C:WINDOWSsystem32SpywareRemover.exe
O4 - HKLM..Run: [SDFix] C:DOCUME~1CHRIST~1BureauSDFixRunThis.bat /second
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailinIncMail.exe /c
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra button: Montrer/Cacher la Barre de Traduction - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:Program FilesFichiers communsIdiomaX SharedCat 6.0TrdIEAddIn.dll
O10 - Broken Internet access because of LSP provider 'c:program filesonjourmdnsnsp.dll' missing
O15 - Trusted Zone: http://www.incredimail.com
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} (VoxsyncCtrl Class) - http://contacts.orange.fr/wfr_webab/VoxsyncX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwarede ... _0_3_1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL ... 586-jc.cab
O20 - Winlogon Notify: Antiwpa - C:WINDOWSSYSTEM32antiwpa.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:WINDOWSsystem32agrsmsvc.exe
O23 - Service: ASKService - Unknown owner - C:Program FilesAskBarDisarinAskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:Program FilesAskBarDisarinASKUpgrade.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:Program FilesBonjourmDNSResponder.exe (file missing)
O23 - Service: Boonty Games - BOONTY - C:Program FilesFichiers communsBOONTY SharedServiceBoonty.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:Program FilesIntelWiFiinEvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:Program FilesFichiers communsLogishrdBluetoothLBTServ.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:program filesfichiers communslogitechlvmvfmLVPrcSrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Filesma-config.commaconfservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - C:Program FilesFichiers communsNeroLibNMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:WINDOWSsystem32IoctlSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:Program FilesFichiers communsIntelWirelessCommonRegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:Program FilesIntelWiFiinS24EvMon.exe

--
End of file - 9804 bytes

[Chrislall]

Ensuite tu me demandes de faire le check avec SDFix, je j'avais déjà fait et ça n'a rien donné (voir le premier post)
Dois-je recommencer SDFix ?
En tout cas même si on y arrive pas, merci pour ton aide, ce que vous faites sur ce forum est GENIAL

[r@in | b0w]

Re.

_ Via HiJackThis, tu supprimes les lignes:

C:Program FilesAskBarDisarinAskService.exe
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:Program FilesAskBarDisarinaskBar.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:WINDOWSAUTOLO~1AL2DLL.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:Program FilesAskBarDisarinaskBar.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Framework Windows] frmwrk32.exe
O4 - HKLM..Run: [SpywareCleaner] C:WINDOWSsystem32SpywareRemover.exe
O4 - HKLM..Run: [SDFix] C:DOCUME~1CHRIST~1BureauSDFixRunThis.bat /second
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O20 - Winlogon Notify: Antiwpa - C:WINDOWSSYSTEM32antiwpa.dll
O23 - Service: ASKService - Unknown owner - C:Program FilesAskBarDisarinAskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:Program FilesAskBarDisarinASKUpgrade.exe


_ Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32frmwrk32.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Tu refais la même opération pour le fichier C:WINDOWSSYSTEM32antiwpa.dll.


_ Premier bilan: une barre d'outils vérolée, un rogue et peut-être encore d'autres infections.


_ Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue franA§aise.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner

Fin du rapport à --:--:--,--

L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


_ Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.


_ Tu refais la manipulation SDFix en supprimant tous les dossiers & fichiers SDFix sur ta machine.

Ensuite, tu suis la procédure complète mise plus haut.



Bon courage

[Chrislall]

Je suis scotché par ta gentillesse et ta disponibilité !!!! Merci, Merci
Je vais essayer d'exécuter tout ça, bien que ça me paraisse très compliqué. Je te tiens au courant.
A +

[Chrislall]

Fichier frmwrk32.ex reçu le 2008.12.01 14:05:07 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.1.3 2008.12.01 -
AntiVir 7.9.0.36 2008.12.01 -
Authentium 5.1.0.4 2008.12.01 -
Avast 4.8.1281.0 2008.12.01 -
AVG 8.0.0.199 2008.12.01 SHeur2.EHP
BitDefender 7.2 2008.12.01 -
CAT-QuickHeal 10.00 2008.12.01 -
ClamAV 0.94.1 2008.12.01 -
DrWeb 4.44.0.09170 2008.12.01 Trojan.Fakealert.3457
eSafe 7.0.17.0 2008.11.30 Suspicious File
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.12.01 -
F-Prot 4.4.4.56 2008.11.30 -
F-Secure 8.0.14332.0 2008.12.01 -
Fortinet 3.117.0.0 2008.11.30 -
GData 19 2008.12.01 -
Ikarus T3.1.1.45.0 2008.12.01 -
K7AntiVirus 7.10.538 2008.11.29 -
Kaspersky 7.0.0.125 2008.12.01 -
McAfee 5450 2008.11.30 -
McAfee+Artemis 5450 2008.11.30 -
Microsoft 1.4104 2008.12.01 -
NOD32 3653 2008.12.01 -
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.30 -
PCTools 4.4.2.0 2008.12.01 -
Prevx1 V2 2008.12.01 -
Rising 21.06.02.00 2008.12.01 -
SecureWeb-Gateway 6.7.6 2008.12.01 -
Sophos 4.36.0 2008.12.01 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.01 Trojan.Fakeavalert
TheHacker 6.3.1.1.169 2008.11.29 -
TrendMicro 8.700.0.1004 2008.12.01 -
VBA32 3.12.8.9 2008.12.01 -
ViRobot 2008.12.1.1494 2008.12.01 -
VirusBuster 4.5.11.0 2008.11.30 -

Information additionnelle
File size: 32256 bytes
Rapport frmwrk32.exe

MD5...: dc045b88b13f453e8693d46d5ad352dd
SHA1..: 4dba6ceb1a2c44826e9b697ee33ac6dc8701cf46
SHA256: ae34dce1adb09f31c428338e37da492cc94bbe0926e5a7ba297be72e56dfa9ef
SHA512: 97366f864a59e5c592667d111031739f0d607bd333254bca26de64105ad09e92<BR>c849aa2c8bc58d0ed4b37f07b0e174117cb52ce5e272f4cb37ef239bb7347cf5<BR>
ssdeep: 768:JI+1TPBcb7OcaTve0gyBaxtg9tMg5LmiBKB:JIz7kVgyBB4gkUKB<BR>
PEiD..: -
TrID..: File type identification<BR>Win64 Executable Generic (88.0%)<BR>Win32 Dynamic Link Library (generic) (7.8%)<BR>Generic Win/DOS Executable (2.0%)<BR>DOS Executable Generic (2.0%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x406e45<BR>timedatestamp.....: 0x47d0000f (Thu Mar 06 14:30:39 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x68e7 0x6a00 7.85 fc4d2b55005f1135878cb4f32da2e735<BR>.data 0x8000 0xfb1 0xc00 4.74 f6eec9f6e0706d404c5a3b9426c0bc26<BR>.rsrc 0x9000 0x3d8 0x400 3.27 16fc0a706f3edc15ef42bf2055ee46b1<BR><BR>( 3 imports ) <BR>&gt; MSVCRT.dll: _wtoi, malloc, strchr, wcscpy, wcscat, __mb_cur_max, wcscmp, strtoul, sprintf, wcschr, realloc, fclose, atoi, wcsncat, exit, memcpy, _wfullpath<BR>&gt; ADVAPI32.dll: QueryServiceConfigA, LookupPrivilegeValueW, CloseServiceHandle, StartServiceA, MapGenericMask, GetSidIdentifierAuthority, AddAce, RegConnectRegistryA, QueryServiceObjectSecurity, AdjustTokenPrivileges, RegEnumValueA, GetKernelObjectSecurity, RegQueryValueExA, SetTokenInformation, AddAccessAllowedAce, RegOpenKeyExA, QueryServiceStatus, ControlService<BR>&gt; KERNEL32.dll: RaiseException, GetFileAttributesA, SizeofResource, MulDiv, GetSystemInfo, EnterCriticalSection, RtlUnwind, CloseHandle, UnhandledExceptionFilter, GetCurrentThreadId, FreeEnvironmentStringsA, GetStringTypeA, TlsAlloc, GetTickCount, GetUserDefaultLCID, HeapCreate, DeleteFileA, LoadLibraryA, SetUnhandledExceptionFilter, FindClose, GetTimeFormatA<BR><BR>( 0 exports ) <BR>
CWSandbox info: <A href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc045b88b13f453e8693d46d5ad352dd" target=_blank>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc045b88b13f453e8693d46d5ad352dd</A>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.1.3 2008.12.01 -
AntiVir 7.9.0.36 2008.12.01 -
Authentium 5.1.0.4 2008.12.01 -
Avast 4.8.1281.0 2008.12.01 -
AVG 8.0.0.199 2008.12.01 SHeur2.EHP
BitDefender 7.2 2008.12.01 -
CAT-QuickHeal 10.00 2008.12.01 -
ClamAV 0.94.1 2008.12.01 -
DrWeb 4.44.0.09170 2008.12.01 Trojan.Fakealert.3457
eSafe 7.0.17.0 2008.11.30 Suspicious File
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.12.01 -
F-Prot 4.4.4.56 2008.11.30 -
F-Secure 8.0.14332.0 2008.12.01 -
Fortinet 3.117.0.0 2008.11.30 -
GData 19 2008.12.01 -
Ikarus T3.1.1.45.0 2008.12.01 -
K7AntiVirus 7.10.538 2008.11.29 -
Kaspersky 7.0.0.125 2008.12.01 -
McAfee 5450 2008.11.30 -
McAfee+Artemis 5450 2008.11.30 -
Microsoft 1.4104 2008.12.01 -
NOD32 3653 2008.12.01 -
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.30 -
PCTools 4.4.2.0 2008.12.01 -
Prevx1 V2 2008.12.01 -
Rising 21.06.02.00 2008.12.01 -
SecureWeb-Gateway 6.7.6 2008.12.01 -
Sophos 4.36.0 2008.12.01 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.01 Trojan.Fakeavalert
TheHacker 6.3.1.1.169 2008.11.29 -
TrendMicro 8.700.0.1004 2008.12.01 -
VBA32 3.12.8.9 2008.12.01 -
ViRobot 2008.12.1.1494 2008.12.01 -
VirusBuster 4.5.11.0 2008.11.30 -

Information additionnelle
File size: 32256 bytes
MD5...: dc045b88b13f453e8693d46d5ad352dd
SHA1..: 4dba6ceb1a2c44826e9b697ee33ac6dc8701cf46
SHA256: ae34dce1adb09f31c428338e37da492cc94bbe0926e5a7ba297be72e56dfa9ef
SHA512: 97366f864a59e5c592667d111031739f0d607bd333254bca26de64105ad09e92<BR>c849aa2c8bc58d0ed4b37f07b0e174117cb52ce5e272f4cb37ef239bb7347cf5<BR>
ssdeep: 768:JI+1TPBcb7OcaTve0gyBaxtg9tMg5LmiBKB:JIz7kVgyBB4gkUKB<BR>
PEiD..: -
TrID..: File type identification<BR>Win64 Executable Generic (88.0%)<BR>Win32 Dynamic Link Library (generic) (7.8%)<BR>Generic Win/DOS Executable (2.0%)<BR>DOS Executable Generic (2.0%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x406e45<BR>timedatestamp.....: 0x47d0000f (Thu Mar 06 14:30:39 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x68e7 0x6a00 7.85 fc4d2b55005f1135878cb4f32da2e735<BR>.data 0x8000 0xfb1 0xc00 4.74 f6eec9f6e0706d404c5a3b9426c0bc26<BR>.rsrc 0x9000 0x3d8 0x400 3.27 16fc0a706f3edc15ef42bf2055ee46b1<BR><BR>( 3 imports ) <BR>&gt; MSVCRT.dll: _wtoi, malloc, strchr, wcscpy, wcscat, __mb_cur_max, wcscmp, strtoul, sprintf, wcschr, realloc, fclose, atoi, wcsncat, exit, memcpy, _wfullpath<BR>&gt; ADVAPI32.dll: QueryServiceConfigA, LookupPrivilegeValueW, CloseServiceHandle, StartServiceA, MapGenericMask, GetSidIdentifierAuthority, AddAce, RegConnectRegistryA, QueryServiceObjectSecurity, AdjustTokenPrivileges, RegEnumValueA, GetKernelObjectSecurity, RegQueryValueExA, SetTokenInformation, AddAccessAllowedAce, RegOpenKeyExA, QueryServiceStatus, ControlService<BR>&gt; KERNEL32.dll: RaiseException, GetFileAttributesA, SizeofResource, MulDiv, GetSystemInfo, EnterCriticalSection, RtlUnwind, CloseHandle, UnhandledExceptionFilter, GetCurrentThreadId, FreeEnvironmentStringsA, GetStringTypeA, TlsAlloc, GetTickCount, GetUserDefaultLCID, HeapCreate, DeleteFileA, LoadLibraryA, SetUnhandledExceptionFilter, FindClose, GetTimeFormatA<BR><BR>( 0 exports ) <BR>
CWSandbox info: <A href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc045b88b13f453e8693d46d5ad352dd" target=_blank>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc045b88b13f453e8693d46d5ad352dd</A>




Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.28.2 2008.11.30 -
AntiVir 7.9.0.36 2008.11.29 -
Authentium 5.1.0.4 2008.11.30 -
Avast 4.8.1281.0 2008.11.29 -
AVG 8.0.0.199 2008.11.29 -
BitDefender 7.2 2008.11.30 Virtool.20359
CAT-QuickHeal 10.00 2008.11.29 -
ClamAV 0.94.1 2008.11.30 -
DrWeb 4.44.0.09170 2008.11.30 Tool.Wpakill.1
eSafe 7.0.17.0 2008.11.30 Win32.Hacktool
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.30 -
F-Prot 4.4.4.56 2008.11.29 -
F-Secure 8.0.14332.0 2008.11.30 -
Fortinet 3.117.0.0 2008.11.30 Dialer_Intex
GData 19 2008.11.30 Virtool.20359
Ikarus T3.1.1.45.0 2008.11.30 not-a-Virus.Hacktool.Wpakill
K7AntiVirus 7.10.538 2008.11.29 Trojan.Win32.Agent.dx
Kaspersky 7.0.0.125 2008.11.30 -
McAfee 5449 2008.11.29 potentially unwanted program Generic HTool
McAfee+Artemis 5449 2008.11.29 potentially unwanted program Generic HTool
Microsoft 1.4104 2008.11.30 HackTool:Win32/Wpakill
NOD32 3651 2008.11.30 -
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.30 HackTool/WpaKill
PCTools 4.4.2.0 2008.11.30 -
Prevx1 V2 2008.11.30 Cloaked Malware
Rising 21.05.62.00 2008.11.30 -
SecureWeb-Gateway 6.7.6 2008.11.29 -
Sophos 4.36.0 2008.11.30 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.30 Hacktool
TheHacker 6.3.1.1.169 2008.11.29 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.29 -
ViRobot 2008.11.29.1492 2008.11.29 -
VirusBuster 4.5.11.0 2008.11.29 -

Information additionnelle
File size: 5376 bytes
MD5...: f2aaf467e72b0c4754bdcbede3793623
SHA1..: 6109d95497b1ea0fccd942c12e5aa38ff7bb0628
SHA256: 4266a4c85a6b068598a00f45762987a85c9fc31e368981df3188e6e31c91e554
SHA512: 22571197b21a22477f8111be6512329d973a979b8dd798ccfae94037f9064de9<BR>f836557b3950a4692bd4b281fb03443e956463b0e4e33edfc3b5a486fd927207<BR>
ssdeep: 96:gGKvnMoBDvCCslvtdhEArE/1pQxkpulLFjiyDXijoqRfAFfoq:gGKvnXBmCsl<BR>NxrE/1pQxk+ZjiyDXiU0A<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x5000801<BR>timedatestamp.....: 0x432cb580 (Sun Sep 18 00:32:00 2005)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x300 0xd50 0xe00 5.89 c005c76ad53190081de36919f32f35e6<BR>.rsrc 0x1100 0x290 0x300 2.83 3d59ac09546fc3597075b035af9a4702<BR>.reloc 0x1400 0xda 0x100 3.75 fa9f622eba63c95dcb89ed074b261965<BR><BR>( 6 imports ) <BR>&gt; KERNEL32.dll: lstrlenA, GetTickCount, GetSystemDirectoryA, FindFirstFileA, GetLastError, lstrcmpiA, GetModuleHandleA, FindClose, MoveFileA, GetModuleFileNameA, FindNextFileA, DeleteFileA, VirtualProtect, VirtualQuery, IsBadReadPtr, CopyFileA<BR>&gt; ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA<BR>&gt; USER32.dll: GetSystemMetrics, MessageBoxA, GetForegroundWindow<BR>&gt; SHLWAPI.dll: PathAddBackslashA, PathAppendA, PathStripPathA, PathRemoveFileSpecA<BR>&gt; SHELL32.dll: ShellExecuteA<BR>&gt; ntdll.dll: _vsnprintf, _strcmpi, _stricmp, memset<BR><BR>( 3 exports ) <BR>DllRegisterServer, DllUnregisterServer, onLogon<BR>
Prevx info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=D2B9C9B0002B7A41155700CD2AA382001EAFDA9F" target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=D2B9C9B0002B7A41155700CD2AA382001EAFDA9F</A>
CWSandbox info: <A href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f2aaf467e72b0c4754bdcbede3793623" target=_blank>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f2aaf467e72b0c4754bdcbede3793623</A>

------------------------------


-----------\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Edition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : Ver 1.00PARTTBL1
USER : Christian ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1290 [VPS 081130-0] 4.8.1290 (Activated)
C: (Local Disk) - NTFS - Total:149 Go (Free:20 Go)
D: (CD or DVD)
E: (USB)
F: (USB)
H: (CD or DVD)

"C:ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [1] ( 01/12/2008|15:31 )

-----------\ Recherche de Fichiers / Dossiers ...

C:Program FilesAskBarDis
C:Program FilesAskBarDisar
C:Program FilesAskBarDisunins000.dat
C:Program FilesAskBarDisunins000.exe
C:Program FilesAskBarDisarin
C:Program FilesAskBarDisarCache
C:Program FilesAskBarDisarHistory
C:Program FilesAskBarDisarSettings
C:Program FilesAskBarDisarinaskBar.dll
C:Program FilesAskBarDisarinaskPopStp.dll
C:Program FilesAskBarDisarinAskService.exe
C:Program FilesAskBarDisarinAskSplash.exe
C:Program FilesAskBarDisarinAskTBApp.exe
C:Program FilesAskBarDisarinASKUpgrade.exe
C:Program FilesAskBarDisarinpsvince.dll
C:Program FilesAskBarDisarCache2F6F45B
C:Program FilesAskBarDisarCache2F6F9E9
C:Program FilesAskBarDisarCache2F6FC79.bin
C:Program FilesAskBarDisarCache2F6FEEA.bin
C:Program FilesAskBarDisarCache2F7010D.bin
C:Program FilesAskBarDisarCache2F70321.bin
C:Program FilesAskBarDisarCache2F70534.bin
C:Program FilesAskBarDisarCache2F70747.bin
C:Program FilesAskBarDisarCache2F7095A.bin
C:Program FilesAskBarDisarCachefiles.ini
C:Program FilesAskBarDisarHistorysearch
C:Program FilesAskBarDisarSettingsAskLogo.ico
C:Program FilesAskBarDisarSettingsconfig.dat
C:Program FilesAskBarDisarSettingsconfig.dat.bak
C:Program FilesAskBarDisarSettingsprevcfg.htm
C:Program FilesGamesBar
C:Program FilesGamesBarLocalization2-English.ini
C:Program FilesGamesBarLocalization2-French.ini

-----------\ Extensions

(Christian) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Search Bar"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\ Recherche d'autres infections

--------------------\ Suspect ..

C:WINDOWSsystem32antiwpa.dll

--------------------\ Cracks & Keygens ..

C:DOCUME~1CHRIST~1Application DataMicrosoftOfficeRecentOziExplorer v3.95.2 + crack et patch.LNK
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygen
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenA lire avant d'installer Quicktime Pro.txt
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenKeymaker.exe
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenQuickTimeInstaller.exe
C:DOCUME~1CHRIST~1Extreme e-muleIncomingCartes OziExplorer et TouratechOziExplorer v3.95.2 + crack et patch
C:DOCUME~1CHRIST~1Extreme e-muleIncomingCartes OziExplorer et TouratechOziExplorer v3.95.2 + crack et patchPlugins
C:DOCUME~1CHRIST~1Extreme e-muleIncomingCartes OziExplorer et TouratechOziExplorer v3.95.2 + crack et patchProgram



1 - "C:ToolBar SDTB_1.txt" - 01/12/2008|15:35 - Option : [1]

-----------\ Fin du rapport a 15:35:00,21


Bon courage à vous aussi !

[r@in | b0w]

Je suis scotché par ta gentillesse et ta disponibilité !!!!

Scotché? On ne me l'avait encore jamais dit

Pour les procédures, il suffit de les appliquer à la lettre, tout est clairement indiqué.

Et si ce n'est pas assez lumineux pour toi, tu demandes des explications complémentaires.

On attend la suite

[Chrislall]

J'ai oublié de vous demander en vous envoyant les analyses : que faire après avoir enlevé les lignes dans hijackthis ? Sinon je ne vois pas à quoi ça sert de les enlever... et puis c'est tout. Il faut valider quelque part ?
Merci

[r@in | b0w]

Pour la suite:


_ Tu relances Toolbar S&D puis tu sélectionnes l'option [2] pour lancer le nettoyage.

Tu nous copies-colles ensuite l'intégralité du rapport de nettoyage.


_ Tu supprimes tous les cracks (logiciels piratés sur eMule ou autre) listés ci-dessous:

C:DOCUME~1CHRIST~1Application DataMicrosoftOfficeRecentOziExplorer v3.95.2 + crack et patch.LNK
BureauDivers ChristianQuicktime Pro keygen
[b]C:DOCUME~1CHRIST~1Extreme e-muleIncomingCartes OziExplorer et TouratechOziExplorer v3.95.2 + crack et patch


_ Pour HiJackThis, il faut juste cocher les lignes et cliquer sur fix checked, cela supprime le lancement automatique des infections.
Ensuite, on les traite.


_ J'attends la suite, cad Toolbar S&D option 2, Mbam & SmitfraudFix.

[Chrislall]

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 3

01/12/2008 19:23:36
mbam-log-2008-12-01 (19-23-36).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 362868
Temps écoulé: 2 hour(s), 48 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:WINDOWSsystem32antiwpa.dll (Malware.Tool) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOTCLSID{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{afbd14ae-fbeb-daad-6bbc-5f4397a60b64} (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyantiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesActiveDesktopNoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.
C:WINDOWSsystem32ssqqOGXr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:WINDOWSsystem32opNEUNEx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:WINDOWSsvchost.WDL.009 (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
__________________________________________________________________________________________________________________________

SDFix: Version 1.240
Run by Christian on 01/12/2008 at 10:53

Microsoft Windows XP [version 5.1.2600]
Running From: C:Documents and SettingsChristianBureauSDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :

C:WINDOWS
:210010AB90A417FB 24
Total size: 24 bytes.
WINDOWS: deleted 24 bytes in 1 streams.

Checking for remaining Streams

C:WINDOWS
No streams found.



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 19:56:42
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"p0"="C:Program FilesDAEMON Tools Lite"
"h0"=dword:00000000
"khjeh"=hex:37,69,df,aa,20,0a,de,60,6b,8b,c1,a2,f3,44,fa,be,b2,b7,9d,9a,ca,..

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,84,42,d6,97,64,50,e8,6f,2c,cb,ec,e2,38,37,1e,cb,0a,..
"khjeh"=hex:36,07,33,9d,ea,1f,d1,e5,0f,7d,5b,67,49,64,e9,76,ed,a8,33,41,31,..

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:22,9e,b3,fe,4e,25,d7,7e,c5,44,93,b3,ae,fa,7c,11,73,90,62,70,e5,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"p0"="C:Program FilesDAEMON Tools Lite"
"h0"=dword:00000000
"khjeh"=hex:37,69,df,aa,20,0a,de,60,6b,8b,c1,a2,f3,44,fa,be,b2,b7,9d,9a,ca,..

[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,84,42,d6,97,64,50,e8,6f,2c,cb,ec,e2,38,37,1e,cb,0a,..
"khjeh"=hex:36,07,33,9d,ea,1f,d1,e5,0f,7d,5b,67,49,64,e9,76,ed,a8,33,41,31,..

[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:22,9e,b3,fe,4e,25,d7,7e,c5,44,93,b3,ae,fa,7c,11,73,90,62,70,e5,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}Install]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}InstallVxDs]
"CTE_32 Name"="2454739:{301564B2-67A6-1A66-9C4E-A1FE91DE9752}"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstall]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallxga-1-{21D37979-107A-ACE6-BB9A-A3AEAAE0A3EE}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallxga-1-{21D37979-107A-ACE6-BB9A-A3AEAAE0A3EE}Version 1.1]
"dat"="806585365:{ABB120D3-5567-E35F-DDF2-707AD7958D2D}"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Install VBX]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Install VBXCurrent]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Install VBXCurrentInstall]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Install VBXCurrentInstallxga-1-{21D37979-107A-ACE6-BB9A-A3AEAAE0A3EE}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Install VBXCurrentInstallxga-1-{21D37979-107A-ACE6-BB9A-A3AEAAE0A3EE}Version 3.x]
"dat"="1767914624:{B5ED9841-2783-972B-17D1-6FB89CC13AEA}"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"G:\Documents and Settings\Christian\Extreme e-mule\emule.exe"="G:\Documents and Settings\Christian\Extreme e-mule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Program Files\IncrediMail\bin\ImApp.exe"="C:\Program Files\IncrediMail\bin\ImApp.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\IncMail.exe"="C:\Program Files\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\ImpCnt.exe"="C:\Program Files\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\Documents and Settings\Christian\Extreme e-mule\emule.exe"="C:\Documents and Settings\Christian\Extreme e-mule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Ex,cuter une DLL en tant qu'application"
"C:\Program Files\Fichiers communs\Nero\Nero Web\SetupX.exe"="C:\Program Files\Fichiers communs\Nero\Nero Web\SetupX.exe:*:Enabled:Nero ControlCenter"
"C:\Documents and Settings\Christian\Local Settings\Temp\OnlineUpdate8\SetupXu.exe"="C:\Documents and Settings\Christian\Local Settings\Temp\OnlineUpdate8\SetupXu.exe:*:Enabled:Nero ControlCenter"
"C:\Program Files\Vuze\Azureus.exe"="C:\Program Files\Vuze\Azureus.exe:*:Enabled:Azureus"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Tue 30 Sep 2008 24 ..SH. --- "C:WINDOWSSFA8A0808.tmp"
Mon 17 Nov 2008 1,998,848 ...H. --- "C:Program Files7 Wonders of the WorldWonders.exe"
Fri 7 Mar 2008 2,876,744 ...H. --- "C:Program FilesCradle of PersiaCradleOfPersia.exe"
Fri 11 Jan 2008 1,336,648 ...H. --- "C:Program FilesMagic Ball 2MagicBall2.exe"
Fri 11 Jan 2008 726,344 ...H. --- "C:Program FilesMosaic Tomb of MysteryMosaic.exe"
Wed 21 May 2008 14,091,592 ...H. --- "C:Program FilesMystery Case Files - Madame FateMadameFate.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:Program FilesSpybot - Search & Destroyadvcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:Program FilesSpybot - Search & DestroySDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:Program FilesSpybot - Search & DestroySDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:Program FilesSpybot - Search & DestroySpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:Program FilesSpybot - Search & DestroyTeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:Program FilesSpybot - Search & DestroyTools.dll"
Sat 26 Jul 2008 20,652 A..H. --- "C:Documents and SettingsNadineMes documentsTravaux Nanou~WRL0003.tmp"
Mon 20 Oct 2008 28,160 ...H. --- "C:Documents and SettingsChristianBureauDivers ChristianDivers docs~WRL0003.tmp"
Sat 19 Jul 2008 1,881 A..HR --- "C:Documents and SettingsNadineApplication DataSecuROMUserDatasecurom_v7_01.bak"
Mon 27 Nov 2006 9,506 A.SH. --- "C:Documents and SettingsNadineMes documentsMa musiqueSauvegarde de la licencedrmv2key.bak"

Finished!

___________________________________________________________________________________________________________________________
SmitFraudFix v2.380

Rapport fait à 20:23:07,14, 01/12/2008
Executé à partir de C:Documents and SettingsChristianBureauSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWiFiinS24EvMon.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
c:program filesfichiers communslogitechlvmvfmLVPrcSrv.exe
C:WINDOWSsystem32agrsmsvc.exe
C:Program FilesIntelWiFiinEvtEng.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32IoctlSvc.exe
C:Program FilesFichiers communsIntelWirelessCommonRegSrvc.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32LVCOMSX.EXE
C:WINDOWSsystem32ElkCtrl.exe
C:Program FilesBrotherBrmfcmonBrMfcWnd.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:Program FilesBrotherControlCenter3rccMCtl.exe
C:WINDOWSsystem32frmwrk32.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesIncrediMailinIMApp.exe
C:Program FilesBrotherBrmfcmonBrMfimon.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINDOWSsystem32cmd.exe
C:WINDOWSsystem32wscntfy.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsChristian


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1CHRIST~1LOCALS~1Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsChristianApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1CHRIST~1Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLMSYSTEMCS3ServicesTcpip..{F7D42882-11B8-4519-B7CD-67369A023A0D}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[r@in | b0w]

Bonjour.

Il manque le rapport de Toolbar S&D option 2.

Refais un scan avec Mbam mais le tout semble être correct maintenant.

[Chrislall]

J'ai fait comme tu me l'as demandé le scan SmitbraudFix qui m'a détecté plusieurs fichiers infectés, mais je ne les ai pas enlevé car tu n'avais pas précisé ça (voir le rapport plus haut) il y avait des annotations je crois pour un background, etc. qui ressemblait à ce que j'ai. Que dois-je faire avec ça ?

-----------\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Edition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : Ver 1.00PARTTBL1
USER : Christian ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081202-0] 4.8.1296 (Activated)
C: (Local Disk) - NTFS - Total:149 Go (Free:57 Go)
D: (CD or DVD)
E: (USB)
F: (USB)
H: (CD or DVD)

"C:ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [2] ( 02/12/2008|14:07 )

-----------\ Recherche de Fichiers / Dossiers ...


-----------\ Extensions

(Christian) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.msn.com/"
"Search Bar"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\ Recherche d'autres infections

--------------------\ Cracks & Keygens ..

C:DOCUME~1CHRIST~1Application DataMicrosoftOfficeRecentOziExplorer v3.95.2 + crack et patch.LNK
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygen
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenA lire avant d'installer Quicktime Pro.txt
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenKeymaker.exe
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenQuickTimeInstaller.exe



1 - "C:ToolBar SDTB_1.txt" - 01/12/2008|15:35 - Option : [1]
2 - "C:ToolBar SDTB_2.txt" - 01/12/2008|20:18 - Option : [2]
3 - "C:ToolBar SDTB_3.txt" - 02/12/2008|14:10 - Option : [2]

[Chrislall]

Je viens de supprimer les derniers..

--------------------\ Cracks & Keygens ..

C:DOCUME~1CHRIST~1Application DataMicrosoftOfficeRecentOziExplorer v3.95.2 + crack et patch.LNK
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygen
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenA lire avant d'installer Quicktime Pro.txt
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenKeymaker.exe
C:DOCUME~1CHRIST~1BureauDivers ChristianQuicktime Pro keygenQuickTimeInstaller.exe

[r@in | b0w]

Ok.

Pour SmifraudFix, rien n'a été trouvé.

Fais un nouveau scan Mbam et, s'il ne trouve rien, tu enchaines avec un log HiJackThis puis ce sera la fin.