Page 1 sur 2

Analyse Hijack

MessagePosté: 27 Nov 2006, 15:45
de Zeo
Bonjour,

qulqu'un peut m'aider a analysé ce rapport de Hijack, a-squared a détecté des files infectes.

quelque info de PC:

Système Microsofte 2000 Professional P 4, anti virus KV 6, a-squared.

Le 1° rapport a-squared:

Version - a-squared Anti-Malware 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\WINNT\, C:\Programmi
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 26/11/2006 18.33.12

C:\WINNT\system32\cgziplibrary.dll Détecter: Trace.File.Max Net Shield
Value: HKEY_CLASSES_ROOT\CLSID\{293364AE-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Max Net Shield
Value: HKEY_CLASSES_ROOT\CLSID\{293364BA-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Max Net Shield
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{293364AE-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Max Net Shield
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{293364BA-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.Max Net Shield
Value: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} --> buttontext Détecter: Trace.Registry.PossibleBrowserHijackAttempt
Value: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} --> exec Détecter: Trace.Registry.PossibleBrowserHijackAttempt
Key: HKEY_CURRENT_USER\software\freeware\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} Détecter: Trace.Registry.Startpage
Key: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} Détecter: Trace.Registry.Startpage
C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@bluestreak[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@clickbank[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@com[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@ehg-idg.hitbox[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@hitbox[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@questionmarket[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@tribalfusion[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@weborama[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@zedo[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:37 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:38 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:39 Détecter: Trace.TrackingCookie

Scanné

Fichiers: 80147
Traces: 84481
Cookies: 177
Processus: 10

Trouver

Fichiers: 0
Traces: 9
Cookies: 17
Processus: 0
Clés de Registre: 0

Fin du Scan: 26/11/2006 19.43.06
Temps du Scan: 1.09.54

C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@bluestreak[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@clickbank[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@com[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@ehg-idg.hitbox[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@hitbox[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@questionmarket[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@tribalfusion[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@weborama[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Cookies\administrator@zedo[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:37 Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:38 Quarantaine Trace.TrackingCookie
C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\0obgg2at.default\cookies.txt:39 Quarantaine Trace.TrackingCookie
Key: HKEY_CURRENT_USER\software\freeware\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} Quarantaine Trace.Registry.Startpage
Key: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} Quarantaine Trace.Registry.Startpage
Value: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} --> buttontext Quarantaine Trace.Registry.PossibleBrowserHijackAttempt
Value: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} --> exec Quarantaine Trace.Registry.PossibleBrowserHijackAttempt
Value: HKEY_CLASSES_ROOT\CLSID\{293364AE-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Quarantaine Trace.Registry.Max Net Shield
Value: HKEY_CLASSES_ROOT\CLSID\{293364BA-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Quarantaine Trace.Registry.Max Net Shield
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{293364AE-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Quarantaine Trace.Registry.Max Net Shield
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{293364BA-43F8-11D3-BC2D-4000000A2806}\InprocServer32 --> ThreadingModel Quarantaine Trace.Registry.Max Net Shield
C:\WINNT\system32\cgziplibrary.dll Quarantaine Trace.File.Max Net Shield

Quarantaine

Fichiers: 0
Traces: 9
Cookies: 17
-------------------------------------------

2° rapport Hijach:

Logfile of HijackThis v1.99.1
Scan saved at 15.38.23, on 27/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Registry Mechanic\RegMech.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINNT\system32\wisptis.exe
C:\HJT\fred1599.exe .exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://tooncomics.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.clickyestoenter.net/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O1 - Hosts: 207.68.176.250 auto.search.msn.com
O1 - Hosts: 72.232.140.18 www.winmx.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [RegistryMechanic] C:\Programmi\Registry Mechanic\RegMech.exe /QS
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [FreeMem Pro] "C:\PROGRA~1\FREEME~1\fmempro.exe" autostart
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Alice - {8C95A0A0-E0FF-44A0-8EF0-A4730DD0920D} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

Merci

MessagePosté: 27 Nov 2006, 23:36
de nickW
Bonsoir,

Infection par CoolWebSearch!


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 7).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/co ... ximum.html
Kaspersky: http://assiste.com.free.fr/p/comment/co ... m.html#kav


Étape 3: Java de Sun
Installer la nouvelle version de Java de Sun.
Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html
Version actuelle: Java Runtime Environment (JRE) 5.0 Update 9
http://java.sun.com/j2se/1.5.0/download.jsp


Étape 4: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 5: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour/Update.
Si nécessaire, dans la colonne Paramètres/Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle/Manual Update, cliquer sur le bouton Commencer la mise à jour/Start update.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 6: CWShredder
Télécharger CWShredder
Présentation: http://assiste.com.free.fr/p/logitheque/cwshredder.html
Site officiel: http://www.intermute.com/products/cwshredder.html
Lien de téléchargement direct: http://www.trendmicro.com/ftp/products/ ... redder.exe

Placer le programme dans un dossier spécifique, par exemple C:\cwshredder
Lancer le programme, cliquer sur Check for updates. Fermer le programme.


Étape 7: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 8: CWShredder
Exécuter CWShredder (clic sur Scan Only, puis clic sur Fix ou Next).
Noter le résultat.


Étape 9: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://tooncomics.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.clickyestoenter.net/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php
O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O1 - Hosts: 72.232.140.18 www.winmx.com
O13 - WWW. Prefix: http://


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse/Scanner.
Cliquer sur l'onglet Paramètres/Settings.
Dans Comment réagir/How to act?, cliquer sur Actions recommandées/Recommended actions et choisir Quarantaine/Quarantine.
Dans Comment faire l'analyse/How to scan?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux/Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse/Automatically generate report after scan est coché.
Dans l'onglet Analyse/Scan, cliquer sur Analyse complète du système/Complete System Scan.
A la fin de l'analyse, cliquer sur Appliquer toutes les actions/Apply all actions
Ensuite Sauver le rapport (Enregistrer le rapport d'analyse/Save Scan Report puis Enregistrer le rapport sous/Save Scan Report As).


Étape 11: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 12: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)
*- le résultat de CWShredder

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),

MessagePosté: 28 Nov 2006, 16:07
de Zeo
Bonjour nickW,

actuellement je suis entraine d'éxcuter le nettoyage en mode sans echec, j'ai remarqué que Spybot-S&D n'est pas installé sur le PC, et durant l'excution de Hijack j'ai coché aliceadsl et j'ai laissé http://www.fastwebfinder.com/hp.php car je suis client, WinMx programme P2P que j'utilise, quoi faire?

Merci

MessagePosté: 28 Nov 2006, 16:10
de Zeo
Re,

le message est envoyé à partire d'un autre PC.

MessagePosté: 28 Nov 2006, 19:19
de nickW
Bonsoir,

CWS.Aff.Tooncomics
Affiliate variant: Tooncomics

Approx date first sighted: September 18, 2003
Symptoms: IE hijacked to tooncomics.com, targets of hyperlinks on websites changed to porn sites
Cleverness: 9/10
Manual removal difficulty: Involves really lots of Registry editing, and some hosts file editing
This variant seems to be in the league of CWS.Vrape, hijacking to porn sites, redirecting other porn sites to itself, and even using a BHO to change the target of hyperlinks to porn sites like eZula Toptext does. Some users even reported being unable to download CWShredder because the links at the bottom of this article were altered to point to porn sites. Manual removal is pretty hard, because the DNSErr.dll file responsible for the latter part of the hijack has no uninstall built-in like most dlls. However, flat-out deleting the file has no side effects.

CWS.Aff.Tooncomics.2: There is a second version of this hijack that Uses the filename dnse.dll as the BHO, and a second file ld.exe that is always running, reloading the hijack. In this version, the IE homepage and search pages are changed to fastwebfinder.com. A process killer is needed to get rid of ld.exe.


http://cwshredder.net/cwshredder/cwschronicles.html

Je confirme ma procédure de nettoyage (hormis Spybot-S&D lors de l'étape 11 :? ), mais tu peux choisir de garder un PC infecté!

Salut,

MessagePosté: 28 Nov 2006, 19:46
de Zeo
Bonsoir,

est ce que j'interrempre l'anti-virus et je refais tous?
En meme temps je télécharge Spybot-S&D?

Merci

MessagePosté: 28 Nov 2006, 23:39
de nickW
Bonsoir,

Attends d'avoir les résultats demandés, puis mets-les dans un message en réponse.

Si le nettoyage est incomplet, il sera toujours temps de recommencer quelques étapes (sans l'analyse antivirus qui est en général très longue :wink: ).

A suivre,

MessagePosté: 30 Nov 2006, 00:42
de Zeo
Bonsoir nickW,

j'ai fait tous les manips que tu ma demendé, sauf que hier j'ai refait le nettoyage en mode sans échec deux foix pour éffacé Fasteweb, apparament les hosts sont tjs là, je précise que mon PC est réglé sur "Group de travail" et le Firwall est désactivé et le PC ce met +\- 3m pour repondre aux commande, actuellement je peine à écrire ce message.
Question, est ce que les manips vont faites sans connèction à internet?


Je poste les rapports:

1° rapport Hijachthis

Logfile of HijackThis v1.99.1
Scan saved at 0.04.12, on 30/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\explorer.exe
C:\HJT\fred1599.exe .exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O1 - Hosts: 207.68.176.250 auto.search.msn.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

-----------------

2° rapport AVG Anti-Spyware

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16.44.11 28/11/2006

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-50c9a229-7ccc638d.zip/Gummy.class -> Not-A-Virus.Exploit.ByteVerify : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-5316be17-5f821b38.zip/Gummy.class -> Not-A-Virus.Exploit.ByteVerify : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-13bae913-33608cad.zip/Dummy.class -> Not-A-Virus.Exploit.ByteVerify : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv418.jar-318eeef0-59deed14.zip/Dummy.class -> Not-A-Virus.Exploit.ByteVerify : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv717.jar-7d9845d9-230054a0.zip/Dummy.class -> Not-A-Virus.Exploit.ByteVerify : Aucune action entreprise.
C:\Documents and Settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-342eed1c-4706a877.zip/Dummy.class -> Trojan.NoCheat.240 : Aucune action entreprise.


Fin du rapport

----------------------------------

3° les deux rapports de CWShredder

I- Fount the (3) variants:

1. CWS.BOOTCONF
2- CWS.SVCHOST32.
3- CWS.AFF.TOONCOMICS

II- Fount the (2) variants:

1- CWS.BOOTCONF
2- CWS.SVCHOST32

MessagePosté: 30 Nov 2006, 13:55
de nickW
Bonjour,

Tentative de nettoyage du fichier hosts:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 1).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 2: Ccleaner
Lancer le programme.
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: Fichier hosts
Dans l'Explorateur, aller jusqu'au dossier c:\winnt\system32\drivers\etc
Faire un clic droit sur le fichier hosts (sans extension) et choisir Propriétés.
Si nécessaire, décocher les cases devant les Attributs: Lecture seule et Caché, puis OK.
Ouvrir le fichier dans le Bloc-notes (alias Notepad).
Supprimer les lignes:

O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O1 - Hosts: 207.68.176.250 auto.search.msn.com

Enregistrer le fichier puis fermer le Bloc-notes.

Faire un clic droit sur le fichier hosts et choisir Propriétés.
Cocher les cases devant les Attributs: Lecture seule et Caché, puis OK.


Étape 4: CWShredder
Exécuter CWShredder (clic sur Scan Only, puis clic sur Fix ou Next).
Noter le résultat.


Étape 5: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse/Scanner.
Cliquer sur l'onglet Paramètres/Settings.
Dans Comment réagir/How to act?, cliquer sur Actions recommandées/Recommended actions et choisir Quarantaine/Quarantine.
Dans Comment faire l'analyse/How to scan?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux/Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse/Automatically generate report after scan est coché.
Dans l'onglet Analyse/Scan, cliquer sur Analyse complète du système/Complete System Scan.
Tu as dû oublier de faire ceci: A la fin de l'analyse, cliquer sur Appliquer toutes les actions/Apply all actions
Ensuite Sauver le rapport (Enregistrer le rapport d'analyse/Save Scan Report puis Enregistrer le rapport sous/Save Scan Report As).


Étape 6: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)
*- le résultat de CWShredder

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),

MessagePosté: 30 Nov 2006, 18:05
de Zeo
Salut nickW,

voilà j'ai refait toute la manip d'hier avec un peu de changement c’est-à-dire à la fin j'ai fait passé clean qui m'a donné un rapport que j'ajoute, biensure que j'ai fait un rapport de Hijack en mode sans échec où j'ai effacé les hosts, mais dans le dossier c:\winnt\system32\drivers\etc, j'ai trouvé que cette hosts 127.0.0.1 localhoste, c'est quoi? danc j'ai mis dans Propriétés : Lecture seul, puis OK.
Maintenant la machine me paret mieux qu'avant.

Merci j'attents ta reponse.

Les rapports en ordre:

1°-Hijack.

Logfile of HijackThis v1.99.1
Scan saved at 17.13.16, on 30/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\HJT\fred1599.exe .exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

-----------------------------------------------

2°- Avg Anti-Spyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15.51.02 30/11/2006

+ Résultat de l'analyse:



Rien à signaler.



Fin du rapport

-------------------------------

3°-Résultat de l'analyse:
avant le passage de AVG Anti-Spayware

a- Fouint The followinp (3) variants

1- CWS.BOOTCONF
2- CWS.SVCHOST32
3- CWS.AFF.TOONCOMIS.

après le passage de AVG Anti-Spayware

b- COOLWEBSEARCH NOT FOOND ON THIS SYSTEM.

------------------------------------

4°- rapport clean:

Script clean par Malekal_morte - http://www.malekal.com

Microsoft Windows 2000 [Versione 5.00.2195]
Script execute en mode sans echec

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINNT\

*** Suppression des fichiers dans C:\WINNT\system32
"C:\WINNT\Downloaded Program Files\CONFLICT.1" FOUND


*** Suppression des clefs du registre effectuee..