Coucou,
Merci de vos réponses.
J’ai fait un premier scan Navilog1 en mode 1
Search Navipromo version 3.7.0 commencé le 26/12/2008 à 23:28:47,02
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l’avis d’un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO
Microsoft® Windows Vista Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel® Celeron® M CPU 430 @ 1.73GHz )
BIOS : BIOS Date: 04/23/07 10:53:04 Ver: 08.00.12
USER : Guiome ( Not Administrator ! )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081218-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:227 Go (Free:126 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:0 Go)
E:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans “C:\Windows” ***
*** Recherche dossiers dans “C:\Program Files” ***
…\MessengerSkinner trouvé !
*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1\programs” ***
…\MessengerSkinner trouvé !
*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1” ***
*** Recherche dossiers dans “C:\ProgramData” ***
*** Recherche dossiers dans “c:\users\guiome\appdata\roaming\micros~1\windows\startm~1\programs” ***
*** Recherche dossiers dans “C:\Users\Guiome\AppData\Local\virtualstore\Program Files” ***
*** Recherche dossiers dans “C:\Users\GNRAL~1\AppData\Local\virtualstore\Program Files” ***
*** Recherche dossiers dans “C:\Users\Margaux\AppData\Local\virtualstore\Program Files” ***
*** Recherche dossiers dans “C:\Users\Guiome\AppData\Roaming” ***
…\MessengerSkinner trouvé !
*** Recherche dossiers dans “C:\Users\GNRAL~1\appdata\roaming” ***
*** Recherche dossiers dans “C:\Users\Isabelle\appdata\roaming” ***
*** Recherche dossiers dans “C:\Users\Margaux\appdata\roaming” ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d’infos : www.gmer.net…
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
-
Recherche dans “C:\Windows\system32” *
-
Recherche dans “C:\Users\Guiome\AppData\Local\Microsoft” *
-
Recherche dans “C:\Users\Guiome\AppData\Local” *
-
Recherche dans “C:\Users\GNRAL~1\AppData\Local” *
-
Recherche dans “C:\Users\Isabelle\AppData\Local” *
-
Recherche dans “C:\Users\Margaux\AppData\Local” *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“cscko”="“c:\users\guiome\appdata\local\cscko.exe” cscko"
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
-
Dans “C:\Windows\system32” :
-
Dans “C:\Users\Guiome\AppData\Local\Microsoft” :
-
Dans “C:\Users\Guiome\AppData\Local” :
cscko.exe trouvé !
cscko.dat trouvé !
cscko_nav.dat trouvé !
cscko_navps.dat trouvé !
-
Dans “C:\Users\GNRAL~1\AppData\Local” :
-
Dans “C:\Users\Isabelle\AppData\Local” :
-
Dans “C:\Users\Margaux\AppData\Local” :
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 26/12/2008 à 23:44:50,44 ***
Ensuite désinfection Navilog1 en mode 2
Clean Navipromo version 3.7.0 commencé le 27/12/2008 à 0:16:56,69
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO
Microsoft® Windows Vista Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel® Celeron® M CPU 430 @ 1.73GHz )
BIOS : BIOS Date: 04/23/07 10:53:04 Ver: 08.00.12
USER : Guiome ( Not Administrator ! )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081218-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:227 Go (Free:126 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:0 Go)
E:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage exécuté au redémarrage de l’ordinateur
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n’avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
-
Suppression dans “C:\Windows\System32” *
-
Suppression dans “C:\Users\Guiome\AppData\Local\Microsoft” *
-
Suppression dans “C:\Users\Guiome\AppData\Local” *
-
Suppression dans “C:\Users\GNRAL~1\AppData\Local” *
-
Suppression dans “C:\Users\Isabelle\AppData\Local” *
-
Suppression dans “C:\Users\Margaux\AppData\Local” *
*** Suppression dossiers dans “C:\Windows” ***
*** Suppression dossiers dans “C:\Program Files” ***
…\MessengerSkinner …suppression…
…\MessengerSkinner supprimé !
*** Suppression dossiers dans “c:\progra~2\micros~1\windows\startm~1\programs” ***
…\MessengerSkinner …suppression…
…\MessengerSkinner supprimé !
*** Suppression dossiers dans “c:\progra~2\micros~1\windows\startm~1” ***
*** Suppression dossiers dans “C:\ProgramData” ***
*** Suppression dossiers dans c:\users\guiome\appdata\roaming\micros~1\windows\startm~1\programs ***
*** Suppression dossiers dans “C:\Users\GNRAL~1\appdata\roaming\micros~1\windows\startm~1\programs” ***
*** Suppression dossiers dans “C:\Users\Isabelle\appdata\roaming\micros~1\windows\startm~1\programs” ***
*** Suppression dossiers dans “C:\Users\Margaux\appdata\roaming\micros~1\windows\startm~1\programs” ***
*** Suppression dossiers dans “C:\Users\Guiome\AppData\Local\virtualstore\Program Files” ***
*** Suppression dossiers dans “C:\Users\GNRAL~1\AppData\Local\virtualstore\Program Files” ***
*** Suppression dossiers dans “C:\Users\Margaux\AppData\Local\virtualstore\Program Files” ***
*** Suppression dossiers dans “C:\Users\Guiome\AppData\Roaming” ***
…\MessengerSkinner …suppression…
…\MessengerSkinner supprimé !
*** Suppression dossiers dans “C:\Users\GNRAL~1\appdata\roaming” ***
*** Suppression dossiers dans “C:\Users\Isabelle\appdata\roaming” ***
*** Suppression dossiers dans “C:\Users\Margaux\appdata\roaming” ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Guiome\AppData\Local\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
-
Dans “C:\Windows\system32” *
-
Dans “C:\Users\Guiome\AppData\Local\Microsoft” *
-
Dans “C:\Users\Guiome\AppData\Local” *
cscko.exe trouvé !
Copie cscko.exe réalisée avec succès !
cscko.exe supprimé !
cscko.dat trouvé !
Copie cscko.dat réalisée avec succès !
cscko.dat supprimé !
cscko_nav.dat trouvé !
Copie cscko_nav.dat réalisée avec succès !
cscko_nav.dat supprimé !
cscko_navps.dat trouvé !
Copie cscko_navps.dat réalisée avec succès !
cscko_navps.dat supprimé !
-
Dans “C:\Users\GNRAL~1\AppData\Local” *
-
Dans “C:\Users\Isabelle\AppData\Local” *
-
Dans “C:\Users\Margaux\AppData\Local” *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 27/12/2008 à 0:24:04,24 ***
Un autre scan sous AD-Remover
--------- Logfile of AD-Remover 1.0.8.0 by C_XX ---------
START at: 0:44:37 | Sat 27/12/2008 | Microsoft® Windows Vista Home Premium SP1 (v6.0.6001)
BOOT MODE: Normal
(!) - UAC is disable
OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
PC: PCBUREAU | USER: Guiome ( Current user is an administrator)
DRIVE(S):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
- E:\ (File System: UDF)
Internet Explorer v7.0.6001.18000
--------- [ RUNNING PROCESSES: 63 ] ---------
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\RtHDVCpl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Razer\razerofa.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\ntvdm.exe
±----------------------| Boonty/Boonty Games Elements found :
.
±----------------------| Eorezo Elements found :
“HKEY_CLASSES_ROOT\EoRezoBHO.EoBho”
“HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1”
“HKEY_CLASSES_ROOT\Interface{B0D071A1-36B3-4757-A126-14C89C56013A}”
“HKEY_CLASSES_ROOT\Typelib{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}”
“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{64F56FC1-1272-44CD-BA6E-39723696E350}”
“HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{64F56FC1-1272-44CD-BA6E-39723696E350}”
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{64F56FC1-1272-44CD-BA6E-39723696E350}”
.
[08/08/2008 15:36|d--------] C:\PROGRA~1\EoRezo
[08/08/2008 15:36|d--------] C:\PROGRA~1\EoRezo\EoAdv
[08/08/2008 15:26|–a------] C:\PROGRA~1\EoRezo\EoAdv\eoAdv.url
[25/01/2007 09:22|–a------] C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.OLD
±----------------------| Everest Poker Elements found :
.
±----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :
.
±----------------------| It’s TV Elements found :
“HKEY_LOCAL_MACHINE\SOFTWARE\ItsLabel”
.
[08/08/2008 15:36|d--------] C:\PROGRA~1\ItsLabel
±----------------------| Sweetim Elements found :
.
±----------------------| ADDED SCAN :
±--------- Scanning prefs.js … ( # Mozilla User Preferences )
…\ve77rpwy.default\prefs.js :
~~~~ Mozilla FireFox version 3.0.1 ~~~~
±---------+
±--------------------------------------------------------------------------+
±-[HKEY_CURRENT_USER…\Run]
Skype REG_SZ “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
msnmsgr REG_SZ “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
Steam REG_SZ “c:\program files\steam\steam.exe” -silent
±-[HKEY_LOCAL_MACHINE…\Run]
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SunJavaUpdateSched REG_SZ “C:\Program Files\Java\jre6\bin\jusched.exe”
razer REG_SZ C:\Program Files\Razer\razerhid.exe
HP Software Update REG_SZ C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
QuickTime Task REG_SZ “C:\Program Files\QuickTime\QTTask.exe” -atboottime
iTunesHelper REG_SZ “C:\Program Files\iTunes\iTunesHelper.exe”
RtHDVCpl REG_SZ RtHDVCpl.exe
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
WinSys2 REG_SZ C:\Windows\system32\startup.exe
±-[HKEY_USERS.DEFAULT…\Run]
±-[HKEY_CURRENT_USER…\Internet Explorer\MAIN]
Start Page : ie.redirect.hp.com…
±-[HKEY_LOCAL_MACHINE…\Internet Explorer\MAIN]
Start Page : lo.st…
±--------------------------------------------------------------------------+
- “C:\AD-report-Scan-27.12.2008.log” (~6336 bytes)
END at: 0:44:45 | 27/12/2008 - Time elapsed: 8.1 seconds
±--------------------------------------------------------------------------+
±------------------------------ [ E.O.F - 132 lines ]
±--------------------------------------------------------------------------+
J’ai ensuite fait un nettoyage AD-Remover
--------- Logfile of AD-Remover 1.0.8.0 by C_XX ---------
*** Limited to ***
Eorezo
It’s TV
START at: 0:58:57 | Sat 27/12/2008 | Microsoft® Windows Vista Home Premium SP1 (v6.0.6001)
BOOT MODE: Normal
(!) - UAC is disable
OPTION: Clean | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
PC: PCBUREAU | USER: Guiome ( Current user is an administrator)
DRIVE(S):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
- E:\ (File System: UDF)
Internet Explorer v7.0.6001.18000
--------- [ RUNNING PROCESSES: 61 ] ---------
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\RtHDVCpl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Razer\razerofa.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Windows\system32\ntvdm.exe
(!) ---- IE start pages reset
±----------------------| Eorezo Elements Deleted :
“HKEY_CLASSES_ROOT\EoRezoBHO.EoBho”
“HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1”
“HKEY_CLASSES_ROOT\Interface{B0D071A1-36B3-4757-A126-14C89C56013A}”
“HKEY_CLASSES_ROOT\Typelib{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}”
“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{64F56FC1-1272-44CD-BA6E-39723696E350}”
“HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{64F56FC1-1272-44CD-BA6E-39723696E350}”
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{64F56FC1-1272-44CD-BA6E-39723696E350}”
.
[08/08/2008 15:36|d--------] C:\Program Files\EoRezo
±----------------------| It’s TV Elements Deleted :
“HKEY_LOCAL_MACHINE\SOFTWARE\ItsLabel”
.
[08/08/2008 15:36|d--------] C:\Program Files\ItsLabel
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.
±----------------------| ADDED SCAN :
±-[HKEY_CURRENT_USER…\Run]
Skype REG_SZ “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
msnmsgr REG_SZ “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
Steam REG_SZ “c:\program files\steam\steam.exe” -silent
±-[HKEY_LOCAL_MACHINE…\Run]
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SunJavaUpdateSched REG_SZ “C:\Program Files\Java\jre6\bin\jusched.exe”
razer REG_SZ C:\Program Files\Razer\razerhid.exe
HP Software Update REG_SZ C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
QuickTime Task REG_SZ “C:\Program Files\QuickTime\QTTask.exe” -atboottime
iTunesHelper REG_SZ “C:\Program Files\iTunes\iTunesHelper.exe”
RtHDVCpl REG_SZ RtHDVCpl.exe
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
WinSys2 REG_SZ C:\Windows\system32\startup.exe
±-[HKEY_USERS.DEFAULT…\Run]
±-[HKEY_CURRENT_USER…\Internet Explorer\MAIN]
Start Page : www.microsoft.com…
±-[HKEY_LOCAL_MACHINE…\Internet Explorer\MAIN]
Start Page : fr.msn.com…
±--------------------------------------------------------------------------+
END at: 1:01:56 | 27/12/2008 - Time elapsed: 2 minutes, 59 seconds
±--------------------------------------------------------------------------+
±------------------------------ [ E.O.F - 120 lines ]
±--------------------------------------------------------------------------+
Et le nouveau scan HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:08, on 27/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Razer\razerofa.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ie.redirect.hp.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = fr.msn.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”
O4 - HKLM…\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM…\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [WinSys2] C:\Windows\system32\startup.exe
O4 - HKLM…\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU…\Run: [Steam] “c:\program files\steam\steam.exe” -silent
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE RÉSEAU’)
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix:
O16 - DPF: {80AEEC0E-A2BE-4B8D-985F-350FE869DC40} (HPDDClientExec Class) - h20264.www2.hp.com…
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
Puis un scan nettoyage Mawarebytes’ Anti-Malware
Malwarebytes’ Anti-Malware 1.31
Version de la base de données: 1551
Windows 6.0.6001 Service Pack 1
27/12/2008 12:44:23
mbam-log-2008-12-27 (12-44-23).txt
Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 173556
Temps écoulé: 1 hour(s), 27 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\System32\startup.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Les fenêtres de pubs ont disparus mais l’ordi est toujours assez lent, une infection serait-elle passer à coté ?