Bonsoir, besoin d'une interprétation d'analyse Hijackthis

[Meuline]

Bonsoir,

 

je ne suis pas très douée quand il y a un souci sur mon ordinateur!!! c'est pour cela que je vous demande de l'aide qui me sera très précieuse.

 

Mon ordinateur a été infecté par un trojan horse détecté par norton internet security 2005 et mis en quarantaine par Norton antivirus 2005. C:\windows\system32\axsetup.dll

 

je souhaiterai le supprimer, pour cela j'ai utilisé hijackthis. J'ai suivi les conseils de Zébulon : pré nettoyage du système et démarrage en mode sans échec.

 

 

En voici l'analyse :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:10:36, on 03/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\Emeline\LOCALS~1\Temp\Répertoire temporaire 5 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.tele2.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [iomega Automatic Backup Pro] "C:\Program Files\Iomega\Automatic Backup Pro\LiveSystem.exe" -s

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133806822637

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

[Thanos]

salut et bienvenue sur le forum

 

Ton pc est infecté par Edgaccess : afin de mettre en évidence certains fichiers cachés , fais ceci stp =>

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

De plus, enlève hijackthis de ce Répertoire temporaire ,

 

sinon tu ne bénéficieras pas des sauvegardes. Met le dans un répertoire dédié (C:\ProgramFiles par exemple).

 

@+

Modifié le 3 août 2006 par charles ingals

[Meuline]

Merci, je vais essayer de faire tout cela!

[Thanos]

Meuline, si tu as un souci , n'hésite pas à demander

[Meuline]

Les explications étaient bien clairs maintenant à voir si j'ai effectué les bonnes manipulations :

 

voici le rapport fsbl...

 

08/03/06 19:44:24 [info]: BlackLight Engine 1.0.42 initialized

08/03/06 19:44:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/03/06 19:44:24 [Note]: 7019 4

08/03/06 19:44:24 [Note]: 7005 0

08/03/06 19:44:32 [Note]: 7006 0

08/03/06 19:44:33 [Note]: 7011 1272

08/03/06 19:44:33 [Note]: 7026 0

08/03/06 19:44:33 [Note]: 7026 0

08/03/06 19:44:39 [Note]: FSRAW library version 1.7.1019

[Thanos]

Très bien, aucun fichier caché!!

Pour te débarrasser de ce fichier trouvé par Norton=> C:\windows\system32\axsetup.dll

il te suffit de vider la quarantaine de Norton.

 

Ceci dit, on va passer un utilitaire spécialisé pour vérifier que l'infection est bien absente du pc =>

 

réponse dans quelques minutes

[Meuline]

le fichier a été supprimé, je patiente...

[Thanos]

Bon allons y pour la suite!Ca a l'air long et compliqué mais ca n'est pas du tout le cas!!c'est juste détaillé!

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

 

 

-Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\(ta partition système) et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Voici ce à quoi doit ressembler l'icone du fichier .Bfu que tu viens de télécharger:

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

 

Clique Exit pour fermer le programme BFU.

 

Étape 4:

 

*Supprime le dossier en gras dans C:\Program Files:

 

C:\Program Files\MaillSkinner => si tu trouves!

 

-Vide la corbeille.

 

Étape 5:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 6:

 

Redémarre normalement et poste le rapport suivant => C:\egd.txt

 

- Télécharge chercher.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  
• Un nouveau dossier chercher va être créé
  
• Ouvre le et double-clic sur chercher.cmd
  
• Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  
• Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  
• A nouveau menu Edition / copier
  
• Dans un nouveau message ici, faire un clic droit / coller
  

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Si tu as un souci, n'hésite pas

Modifié le 3 août 2006 par charles ingals

[Meuline]

Me revoilà avec le rapport : egd.txt

 

ce fut long mais on y arrive!!

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CARPService"="carpserv.exe"

"Apoint"="C:\\Program Files\\Apoint2K\\Apoint.exe"

"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtaET2S.EXE"

"HP Software Update"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWuSchd.exe"

"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb08.exe"

"AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"

"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""

"URLLSTCK.exe"="C:\\Program Files\\Norton Internet Security\\UrlLstCk.exe"

"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"

"msnappau"="\"C:\\Program Files\\MSN Apps\\Updater\\01.02.0002.1001\\fr\\msnappau.exe\""

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"POINTER"="point32.exe"

"Drag'n'Drop_Autolaunch"="\"C:\\Program Files\\Iomega\\Iomega HotBurn Pro\\Autolaunch.exe\""

"ISUSPM Startup"="C:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"

"ISUSScheduler"="\"C:\\Program Files\\Fichiers communs\\InstallShield\\UpdateService\\issch.exe\" -start"

"EEventManager"="C:\\Program Files\\EPSON\\Creativity Suite\\Event Manager\\EEventManager.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

Je m'attaque au téléchargement de chercher.zip

[Meuline]

voici le résultat pour "chercher"

 

C:\WINDOWS\System32\PerfStringBackup.INI -->29/07/2006 09:33:32

C:\WINDOWS\System32\perfh00C.dat -->29/07/2006 09:33:32

C:\WINDOWS\System32\perfc00C.dat -->29/07/2006 09:33:32

C:\WINDOWS\System32\perfh009.dat -->29/07/2006 09:33:32

C:\WINDOWS\System32\perfc009.dat -->29/07/2006 09:33:32

C:\WINDOWS\System32\wpa.dbl -->24/07/2006 08:50:00

C:\WINDOWS\System32\MRT.exe -->07/07/2006 03:21:46

C:\WINDOWS\System32\rasmans.dll -->22/06/2006 12:48:06

C:\WINDOWS\System32\sirenacm.dll -->16/06/2006 14:34:44

C:\WINDOWS\System32\jgpl400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\jgdw400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\shdocvw.dll -->29/05/2006 17:29:14

C:\WINDOWS\System32\mshtml.dll -->19/05/2006 17:09:50

C:\WINDOWS\System32\dnsapi.dll -->19/05/2006 15:23:36

C:\WINDOWS\System32\iphlpapi.dll -->19/05/2006 15:23:36

C:\WINDOWS\System32\dhcpcsvc.dll -->19/05/2006 15:23:36

C:\WINDOWS\System32\jscript.dll -->18/05/2006 07:31:22

C:\WINDOWS\System32\xpsp3res.dll -->11/05/2006 10:57:36

C:\WINDOWS\System32\shlwapi.dll -->10/05/2006 07:24:40

C:\WINDOWS\System32\urlmon.dll -->10/05/2006 07:24:40

C:\WINDOWS\System32\wininet.dll -->10/05/2006 07:24:40

C:\WINDOWS\System32\pngfilt.dll -->10/05/2006 07:24:38

C:\WINDOWS\System32\mstime.dll -->10/05/2006 07:24:38

C:\WINDOWS\System32\extmgr.dll -->10/05/2006 07:24:36

C:\WINDOWS\System32\inseng.dll -->10/05/2006 07:24:36

 

C:\WINDOWS\0.log -->03/08/2006 20:42:50

C:\WINDOWS\ModemLog_Conexant Soft 56K Modem.txt -->03/08/2006 20:42:32

C:\WINDOWS\wiadebug.log -->03/08/2006 20:41:54

C:\WINDOWS\bootstat.dat -->03/08/2006 20:41:12

C:\WINDOWS\WindowsUpdate.log -->03/08/2006 20:40:26

C:\WINDOWS\ntbtlog.txt -->03/08/2006 20:30:52

C:\WINDOWS\SchedLgU.Txt -->03/08/2006 20:26:34

C:\WINDOWS\wiaservc.log -->03/08/2006 20:26:24

C:\WINDOWS\setupact.log -->03/08/2006 20:25:06

C:\WINDOWS\tsc.ini -->03/08/2006 19:53:42

C:\WINDOWS\GetServer.ini -->03/08/2006 19:53:30

C:\WINDOWS\setupapi.log -->03/08/2006 16:37:20

C:\WINDOWS\tsc.ptn -->02/08/2006 14:37:08

C:\WINDOWS\tsc.exe -->02/08/2006 14:37:06

C:\WINDOWS\hcextoutput.dll -->02/08/2006 14:37:02

 

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 381B-1BEB

 

R‚pertoire de C:\WINDOWS\system

 

05/12/2005 14:27 345ÿ983 RCDsetup.exe

05/12/2005 14:38 10ÿ000 regsvr32.exe

2 fichier(s) 355ÿ983 octets

0 R‚p(s) 6ÿ386ÿ761ÿ728 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 381B-1BEB

 

R‚pertoire de C:\WINDOWS\system32

 

20/08/2004 00:09 6ÿ144 csrss.exe

1 fichier(s) 6ÿ144 octets

0 R‚p(s) 6ÿ386ÿ761ÿ728 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 381B-1BEB

 

R‚pertoire de C:\Program Files

 

05/12/2005 14:10 <REP> .

05/12/2005 14:10 <REP> ..

05/12/2005 14:10 <REP> Fichiers communs

05/12/2005 14:12 <REP> CONEXANT

05/12/2005 14:15 <REP> Windows NT

05/12/2005 14:15 <REP> MSN Gaming Zone

05/12/2005 14:15 <REP> MSN

05/12/2005 14:15 <REP> Messenger

05/12/2005 14:16 <REP> Services en ligne

05/12/2005 14:16 <REP> ComPlus Applications

05/12/2005 14:17 <REP> Internet Explorer

05/12/2005 14:17 <REP> Outlook Express

05/12/2005 14:17 <REP> NetMeeting

05/12/2005 14:17 <REP> Windows Media Player

05/12/2005 14:18 <REP> Movie Maker

05/12/2005 14:20 <REP> Apoint2K

05/12/2005 14:20 <REP> microsoft frontpage

05/12/2005 14:20 <REP> xerox

05/12/2005 14:24 <REP> Adobe

05/12/2005 14:26 <REP> Launch Manager

05/12/2005 14:38 <REP> Raccourcis de programmes

05/12/2005 14:38 <REP> NewTech Infosystems

05/12/2005 14:40 <REP> CyberLink

19/04/2006 20:57 <REP> IKEA Home Planner Kitchen

25/04/2006 20:30 <REP> Micro Application

21/05/2006 17:23 <REP> NewSoft

05/12/2005 18:25 <REP> Microsoft Office

26/07/2006 12:53 <REP> eMule

21/05/2006 17:21 <REP> ABBYY FineReader 6.0 Sprint

02/08/2006 14:46 <REP> Spybot - Search & Destroy

02/08/2006 16:46 <REP> Lavasoft

14/12/2005 08:08 <REP> Hewlett-Packard

14/12/2005 08:28 <REP> BeWAN ADSL V1.9.0.5

16/12/2005 19:27 <REP> Symantec

16/12/2005 19:29 <REP> Norton Internet Security

16/12/2005 19:52 <REP> SymNetDrv

16/12/2005 20:52 <REP> MSN Messenger

16/12/2005 20:53 <REP> MSN Toolbar

16/12/2005 20:53 <REP> MSN Apps

16/12/2005 22:58 <REP> Zone Labs

18/12/2005 19:26 <REP> Canon

18/12/2005 19:34 <REP> QuickTime

18/12/2005 21:50 <REP> ArcSoft

18/12/2005 23:10 <REP> Microsoft Hardware

27/12/2005 10:01 <REP> Iomega

27/12/2005 11:57 <REP> Sonic

27/12/2005 12:05 <REP> MUSICMATCH

29/01/2006 17:29 <REP> Real

29/01/2006 17:33 <REP> Google

21/05/2006 17:14 <REP> epson

0 fichier(s) 0 octets

50 R‚p(s) 6ÿ386ÿ761ÿ728 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 381B-1BEB

 

R‚pertoire de C:\Program Files\fichiers communs

 

05/12/2005 14:10 <REP> .

05/12/2005 14:10 <REP> ..

05/12/2005 14:10 <REP> Microsoft Shared

05/12/2005 14:10 <REP> SpeechEngines

05/12/2005 14:10 <REP> ODBC

05/12/2005 14:17 <REP> System

05/12/2005 14:17 <REP> MSSoap

05/12/2005 14:17 <REP> Services

05/12/2005 14:20 <REP> InstallShield

05/12/2005 14:24 <REP> Adobe

05/12/2005 15:19 <REP> Symantec Shared

05/12/2005 18:28 <REP> Designer

27/12/2005 11:57 <REP> TiVo Shared

27/12/2005 12:18 <REP> Sonic Shared

29/01/2006 17:29 <REP> Real

0 fichier(s) 0 octets

15 R‚p(s) 6ÿ386ÿ761ÿ728 octets libres

c:\Documents and Settings\Emeline\Local Settings\Temporary Internet Files\Content.IE5\WFPNVP56\blbeta[1].exe

c:\Documents and Settings\Emeline\Mes documents\diaporama\Synth‚.exe

c:\Documents and Settings\Emeline\Mes documents\logiciels\NIS05FRA.EXE

c:\Documents and Settings\Emeline\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Emeline\Bureau\blbeta.exe

c:\Documents and Settings\Emeline\Bureau\chercher\chercher\LFiles.exe

c:\Documents and Settings\Emeline\Application Data\Microsoft\Installer\{90FF23FE-0E1B-40DF-A22E-B4C0372E5936}\ARPPRODUCTICON.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\Emeline\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler