[RESOLU]Pb adware Virtumonde et Smitfraud-C.Toolbar888

[coyotito]

Bonsoir à tous,

 

Depuis ce matin, j'ai un pb de ralentissement de mon pc et de multiples fenêtres Internet Explorer qui s'ouvrent.

J'ai fait un scan avec Antivir, AVG Anti-Spyware, Vundofix, Virtumondobegone et CCleaner en mode sans échec.

Je ne suis pas certain que le problème soit réglé.

 

Voici le rapport HiJackThis que je vien de faire :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:53:43, on 17/06/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\WINDOWS\vVX1000.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\System32\hphmon05.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\WINDOWS\system32\ps2.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Pando Networks\Pando\Pando.exe

C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvhid.dll,startup

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\bgpdagja.dll",realset

O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1143048092015

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.crucial.com/controls/cpcScanner.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

Merci par avance de votre aide.

Modifié le 22 juin 2007 par coyotito

[Thanos]

salut

 

Est ce que tu as conservé VundoFix ? j'aimerai voir le rapport stp >

Il se trouve ici > C:\vundofix.txt

[coyotito]

salut

 

Est ce que tu as conservé VundoFix ? j'aimerai voir le rapport stp >

Il se trouve ici > C:\vundofix.txt

 

Malheureusement non. J'ai du le supprimer.

En plus, il datait du début d'après-midi et depuis j'avais essayer d'autres solutions.

 

Je viens d'en refaire un (en mode normal !!??), si ça peut servir :

 

undoFix V6.5.0

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.10

 

Scan started at 00:06:55 18/06/2007

 

Listing files found while scanning....

 

C:\windows\system32\ddayw.dll

C:\WINDOWS\System32\wyadd.bak1

C:\windows\system32\wyadd.ini

 

Merci.

[Thanos]

ok est ce que tu peux stp poster le rapport suivant ? >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Poste aussi un nouveau rapport hijackthis.

[coyotito]

ok est ce que tu peux stp poster le rapport suivant ? >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Poste aussi un nouveau rapport hijackthis.

 

 

Voila les rapports :

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 18/06/2007 à 0:29:13,31

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\AvgAsCln.sys -->30/05/2007 14:10:42

C:\WINDOWS\System32/drivers\pxhelp20.sys -->30/01/2007 07:03:34

C:\WINDOWS\System32/drivers\cdralw2k.sys -->30/01/2007 07:03:34

C:\WINDOWS\System32/drivers\cdr4_xp.sys -->30/01/2007 07:03:34

C:\WINDOWS\System32/drivers\VX1000.sys -->13/10/2006 18:04:28

C:\WINDOWS\System32/drivers\GEARAspiWDM.sys -->19/09/2006 16:44:04

C:\WINDOWS\System32/drivers\tcpip6.sys -->16/08/2006 11:28:57

 

C:\WINDOWS\System32\wyadd.ini -->18/06/2007 00:29:10

C:\WINDOWS\System32\wpa.dbl -->17/06/2007 20:42:46

C:\WINDOWS\System32\ajgadpgb.ini -->17/06/2007 20:40:14

C:\WINDOWS\System32\bgpdagja.dll -->17/06/2007 20:40:00

C:\WINDOWS\System32\wyadd.bak1 -->17/06/2007 20:39:50

C:\WINDOWS\System32\ddayw.dll -->17/06/2007 20:39:30

C:\WINDOWS\System32\guiqrpnj.ini -->17/06/2007 11:02:08

C:\WINDOWS\System32\jnprqiug.dll -->16/06/2007 18:42:45

C:\WINDOWS\System32\BASSMOD.dll -->13/06/2007 13:37:05

C:\WINDOWS\System32\ExGrid.dll -->08/06/2007 13:53:54

C:\WINDOWS\System32\ExMenu.dll -->05/06/2007 10:20:06

C:\WINDOWS\System32\ExTab.dll -->05/06/2007 10:19:44

C:\WINDOWS\System32\divxsm.tlb -->31/05/2007 08:45:07

C:\WINDOWS\System32\DivXsm.exe -->31/05/2007 08:45:07

C:\WINDOWS\System32\divx_xx07.dll -->31/05/2007 08:44:55

C:\WINDOWS\System32\divx_xx11.dll -->31/05/2007 08:44:54

C:\WINDOWS\System32\divx_xx0c.dll -->31/05/2007 08:44:54

C:\WINDOWS\System32\DivX.dll -->31/05/2007 08:44:54

C:\WINDOWS\System32\divxdec.ax -->31/05/2007 08:44:42

C:\WINDOWS\System32\SpoonUninstall.exe -->30/05/2007 14:55:03

C:\WINDOWS\System32\SIntfNT.dll -->23/05/2007 18:35:20

C:\WINDOWS\System32\SIntf32.dll -->23/05/2007 18:35:20

C:\WINDOWS\System32\SIntf16.dll -->23/05/2007 18:35:19

C:\WINDOWS\System32\dsm_fr.qm -->23/04/2007 02:15:32

C:\WINDOWS\System32\qt-dx331.dll -->23/04/2007 02:15:29

 

C:\WINDOWS\setupapi.log -->17/06/2007 23:26:56

C:\WINDOWS.log -->17/06/2007 22:49:36

C:\WINDOWS\wiadebug.log -->17/06/2007 22:47:53

C:\WINDOWS\WindowsUpdate.log -->17/06/2007 22:47:50

C:\WINDOWS\wiaservc.log -->17/06/2007 22:47:38

C:\WINDOWS\bootstat.dat -->17/06/2007 22:46:44

C:\WINDOWS\ntbtlog.txt -->17/06/2007 22:45:52

C:\WINDOWS\setuperr.log -->17/06/2007 21:31:10

C:\WINDOWS\setupact.log -->17/06/2007 21:31:10

C:\WINDOWS\SchedLgU.Txt -->17/06/2007 21:27:53

C:\WINDOWS\Sti_Trace.log -->17/06/2007 19:44:17

C:\WINDOWS\wininit.ini -->17/06/2007 11:01:57

C:\WINDOWS\win.ini -->08/06/2007 23:49:18

C:\WINDOWS\ModemLog_Modem standard GSM.txt -->23/05/2007 14:47:13

C:\WINDOWS\ModemLog_Conexant HSF V90 56K PCI Modem.txt -->23/05/2007 14:47:07

 

 

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 17:04 52 736 hpsysdrv.exe

10/09/1999 12:06 4 672 WOWPOST.EXE

2 fichier(s) 57 408 octets

0 Rép(s) 30 713 790 464 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\WINDOWS\system32

 

23/09/2003 12:37 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 30 713 790 464 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

17/06/2007 23:26 <REP> .

17/06/2007 23:26 <REP> ..

26/10/2004 19:14 197 760 avsniff.dll

26/10/2004 19:11 626 avsniff.inf

07/12/2004 17:07 32 bdcore.dll

25/05/2006 01:21 118 784 bdupd.dll

26/10/2004 19:11 241 CabSA.inf

29/10/2004 02:00 2 390 catalog.dat

23/10/2006 11:37 241 664 cpcScan.dll

01/01/2004 09:53 65 desktop.ini

15/10/1997 02:52 697 DirectAnimation Java Classes.osd

08/12/2005 13:46 1 271 erma.inf

25/05/2006 01:21 53 248 ipsupd.dll

16/03/2005 12:34 7 407 lang.ini

07/12/2004 17:07 32 libfn.dll

14/03/2005 14:38 126 live.ini

20/01/2000 23:25 1 162 Microsoft XML Parser for Java.osd

18/11/1999 14:49 992 msaudio.inf

26/05/2005 05:19 293 muweb.inf

26/10/2004 19:10 6 854 navapi.vxd

26/10/2004 19:10 208 896 navapi32.dll

29/10/2004 02:00 119 976 naveng32.dll

29/10/2004 02:00 672 936 navex32a.dll

01/06/2006 02:57 1 331 oscan8.inf

01/06/2006 02:54 471 040 oscan8.ocx

31/05/2006 04:15 10 oscan81.ocx_x

17/03/2004 03:29 595 OSD406.OSD

17/03/2004 03:27 578 624 ppctl.dll

26/10/2004 19:14 160 928 rufsi.dll

14/03/2005 14:58 7 073 scanoptions.tsi

29/10/2004 02:00 84 848 scrauth.dat

09/11/2006 15:36 5 019 swflash.inf

29/10/2004 02:00 8 137 symaveng.cat

29/10/2004 02:00 900 symaveng.inf

29/10/2004 02:00 6 701 tcdefs.dat

29/10/2004 02:00 321 847 tcscan7.dat

29/10/2004 02:00 61 313 tcscan8.dat

29/10/2004 02:00 201 781 tcscan9.dat

29/10/2004 02:00 453 tinf.dat

29/10/2004 02:00 148 tinfidx.dat

29/10/2004 02:00 1 957 tinfl.dat

29/10/2004 02:00 37 478 tscan1.dat

29/10/2004 02:00 1 179 tscan1hd.dat

29/10/2004 02:00 5 382 v.grd

29/10/2004 02:00 2 225 v.sig

29/10/2004 02:00 106 244 virscan.inf

29/10/2004 02:00 892 754 virscan1.dat

29/10/2004 02:00 527 577 virscan2.dat

29/10/2004 02:00 144 452 virscan3.dat

29/10/2004 02:00 316 551 virscan4.dat

29/10/2004 02:00 70 724 virscan5.dat

29/10/2004 02:00 379 994 virscan6.dat

29/10/2004 02:00 1 430 967 virscan7.dat

29/10/2004 02:00 1 180 350 virscan8.dat

29/10/2004 02:00 1 709 130 virscan9.dat

29/10/2004 02:00 32 virscant.dat

03/11/2004 15:08 2 072 vscanmsx.dat

02/11/2005 19:01 1 777 xscan.inf

02/11/2005 19:07 435 712 xscan53.ocx

29/10/2004 02:00 224 zdone.dat

10/11/2005 17:20 137 _ipsec_.inf

59 fichier(s) 10 793 118 octets

 

Total des fichiers listés :

59 fichier(s) 10 793 118 octets

2 Rép(s) 30 713 786 368 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-18 00:29:56

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

144 - MSCamS32.exe

324 - dragdiag.exe

400 - rundll32.exe

436 - nvsvc32.exe

616 - csrss.exe

640 - winlogon.exe

684 - services.exe

696 - lsass.exe

852 - svchost.exe

880 - svchost.exe

1008 - svchost.exe

1164 - avgas.exe

1316 - explorer.exe

1336 - pando.exe

1408 - PCHButton.exe

1764 - CnxMon.exe

1776 - alg.exe

1844 - vVX1000.exe

1852 - guard.exe

1872 - CCAPP.EXE

1932 - CCPXYSVC.EXE

1976 - hphmon05.exe

2056 - AcroRd32.exe

2684 - hpzipm12.exe

2864 - EspaceWanadoo.e

3280 - IEXPLORE.EXE

3312 - ComComp.exe

3376 - Watch.exe

4064 - cmd.exe

 

Total number of processes = 30

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D4000 - \WINDOWS\system32\ntoskrnl.exe

806C8000 - \WINDOWS\system32\hal.dll

F9F32000 - \WINDOWS\system32\KDCOM.DLL

F9E42000 - \WINDOWS\system32\BOOTVID.dll

F99E5000 - ACPI.sys

F9F34000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F9A32000 - pci.sys

F9A42000 - isapnp.sys

F9FFA000 - pciide.sys

F9CB2000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F9F36000 - viaide.sys

F9A52000 - MountMgr.sys

F99C6000 - ftdisk.sys

F9CBA000 - PartMgr.sys

F9A62000 - VolSnap.sys

F99B0000 - atapi.sys

F9A72000 - disk.sys

F9A82000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F999F000 - sr.sys

F9A92000 - PxHelp20.sys

F998B000 - KSecDD.sys

F9901000 - Ntfs.sys

F98D9000 - NDIS.sys

F9AA2000 - SISAGPX.sys

F9CC2000 - viaagp1.sys

F9AB2000 - ohci1394.sys

F9AC2000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

F9CCA000 - nv_agp.sys

F98BF000 - Mup.sys

F9CD2000 - IABFilt.sys

F9CDA000 - agp440.sys

F9C82000 - \SystemRoot\System32\DRIVERS\processr.sys

F8969000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys

F8917000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F88E3000 - \SystemRoot\System32\DRIVERS\HSFHWBS2.sys

F88C3000 - \SystemRoot\System32\DRIVERS\ks.sys

F87C4000 - \SystemRoot\System32\DRIVERS\HSF_DP.sys

F871E000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys

F9DAA000 - \SystemRoot\System32\Drivers\Modem.SYS

F9F12000 - \SystemRoot\system32\drivers\pfc.sys

F9C92000 - \SystemRoot\System32\Drivers\AFS2K.SYS

F9CA2000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F9AF2000 - \SystemRoot\System32\DRIVERS\redbook.sys

F9DB2000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys

F9B02000 - \SystemRoot\System32\DRIVERS\imapi.sys

F9DBA000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F86FC000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F9DC2000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F867A000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F8659000 - \SystemRoot\system32\drivers\portcls.sys

F9B12000 - \SystemRoot\system32\drivers\drmk.sys

F85F9000 - \SystemRoot\system32\drivers\ALCXSENS.SYS

F9B22000 - \SystemRoot\System32\DRIVERS\fetnd5b.sys

F9DCA000 - \SystemRoot\System32\DRIVERS\fdc.sys

F9B32000 - \SystemRoot\System32\DRIVERS\serial.sys

F9F1E000 - \SystemRoot\System32\DRIVERS\serenum.sys

F85E6000 - \SystemRoot\System32\DRIVERS\parport.sys

F9B42000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F9DD2000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F9DDA000 - \SystemRoot\System32\DRIVERS\PS2.sys

F9DE2000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

FA163000 - \SystemRoot\System32\DRIVERS\audstub.sys

F9F60000 - \SystemRoot\System32\Drivers\RootMdm.sys

F9B52000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F9F22000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F85D0000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F8B70000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F8B60000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F9F26000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F85BF000 - \SystemRoot\System32\DRIVERS\psched.sys

F8B50000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F9DF2000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F9DFA000 - \SystemRoot\System32\DRIVERS\raspti.sys

F8B40000 - \SystemRoot\System32\DRIVERS\termdd.sys

FA094000 - \SystemRoot\System32\DRIVERS\swenum.sys

F859D000 - \SystemRoot\System32\DRIVERS\update.sys

F8B30000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F8B10000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F9F66000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F9E02000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F7425000 - \??\c:\Program Files\Norton AntiVirus\SAVRT.SYS

F7408000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS

F8AF0000 - \??\c:\Program Files\Norton AntiVirus\SAVRTPEL.SYS

F9F74000 * --[Hidden]--

FA0E0000 - \SystemRoot\System32\Drivers\Null.SYS

F9F76000 * --[Hidden]--

FA0E1000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

F9E12000 - \SystemRoot\System32\drivers\vga.sys

F9F78000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F9F7A000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F9E1A000 - \SystemRoot\System32\Drivers\Msfs.SYS

F9E22000 - \SystemRoot\System32\Drivers\Npfs.SYS

F9ED2000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F726D000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F7219000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F71D9000 - \SystemRoot\System32\Drivers\SYMTDI.SYS

F9ED6000 - \SystemRoot\System32\Drivers\SYMREDRV.SYS

F9F7C000 - \SystemRoot\System32\Drivers\SYMDNS.SYS

F9B62000 - \SystemRoot\System32\Drivers\SYMNDIS.SYS

F71B0000 - \SystemRoot\System32\Drivers\SYMFW.SYS

F9B72000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F9E2A000 - \SystemRoot\System32\Drivers\SYMIDS.SYS

F7157000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20070612.005\symidsco.sys

F7130000 - \SystemRoot\System32\DRIVERS\netbt.sys

F9B82000 - \SystemRoot\System32\DRIVERS\netbios.sys

F9EE2000 - \SystemRoot\System32\DRIVERS\srvkp.sys

F7107000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F709D000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F9B92000 - \SystemRoot\System32\Drivers\Fips.SYS

FA167000 - \??\C:\Program Files\AVG Anti-Spyware 7.5\guard.sys

F7079000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F9E3A000 - \SystemRoot\System32\DRIVERS\usbccgp.sys

F9BA2000 - \SystemRoot\System32\DRIVERS\alcaudsl.sys

F9F94000 - \SystemRoot\System32\DRIVERS\alcawh.sys

FA078000 - \SystemRoot\System32\DRIVERS\alcacr.sys

F9D1A000 - \SystemRoot\System32\DRIVERS\usbprint.sys

F9D22000 - \SystemRoot\System32\DRIVERS\HPZius12.sys

F9D2A000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

F9BB2000 - \SystemRoot\System32\DRIVERS\alcan5wn.sys

F6E9A000 - \SystemRoot\System32\DRIVERS\VX1000.sys

F9BC2000 - \SystemRoot\System32\DRIVERS\STREAM.SYS

F9BD2000 - \SystemRoot\system32\drivers\usbaudio.sys

F9BE2000 - \SystemRoot\System32\DRIVERS\HPZid412.sys

F857D000 - \SystemRoot\System32\DRIVERS\HPZipr12.sys

F6E84000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F9FAA000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F9ECE000 - \SystemRoot\System32\drivers\Dxapi.sys

F71AC000 - \SystemRoot\System32\watchdog.sys

BFF80000 - \SystemRoot\System32\drivers\dxg.sys

FA13E000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9B8000 - \SystemRoot\System32\nv4_disp.dll

F5D53000 - \SystemRoot\System32\drivers\afd.sys

F5DE8000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F4850000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F4815000 - \SystemRoot\system32\drivers\wdmaud.sys

F48AB000 - \SystemRoot\system32\drivers\sysaudio.sys

F9F7E000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F4B7F000 - \SystemRoot\System32\drivers\aspi32.sys

F4834000 - \SystemRoot\System32\DRIVERS\mdmxsdk.sys

F4379000 - \SystemRoot\System32\DRIVERS\srv.sys

F448C000 - \SystemRoot\System32\DRIVERS\secdrv.sys

F4135000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F2F71000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20051230.004\NavEx15.Sys

F2F5F000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20051230.004\NAVENG.Sys

F2CBA000 - \SystemRoot\system32\drivers\kmixer.sys

FA086000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 147

 

Liste des programmes installes

 

Ad-Aware SE Personal

Adobe Flash Player 9 ActiveX

Adobe Reader 7.0.9 - Français

Ahead Nero - Burning Rom

AiO_Scan

AIOMinimal

AiOSoftware

Apple Software Update

Archiveur WinRAR

AutoUpdate

AVG Anti-Spyware 7.5

BitSpirit v3.1.0.077 Stable Release

CameraDrivers

CC_ccStart

ccCommon

CCleaner (remove only)

CleanUp!

Compel Adaptec WinASPI

Copy

Correctif Windows XP - KB821431

Correctif Windows XP - KB822603

Correctif Windows XP - KB823182

Correctif Windows XP - KB824141

Correctif Windows XP - KB825119

Correctif Windows XP - KB826939

Correctif Windows XP - KB828028

Correctif Windows XP - KB828035

Correctif Windows XP - KB835732

Correctif Windows XP - KB842773

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Correctif Windows XP - KB911567

Correctif Windows XP - KB918439

Correctif Windows XP - KB918899

Correctif Windows XP - KB925486

Correctif Windows XP (SP2) Q327979

Correctif Windows XP (SP2) Q329112

Correctif Windows XP (SP2) q329623

Correctif Windows XP (SP2) Q329909

Correctif Windows XP (SP2) Q811789

Correctif Windows XP (SP2) Q814995

Correctif Windows XP (SP2) Q815485

Correctif Windows XP (SP2) Q817357

CreativeProjects

dBpowerAMP Music Converter

dBpowerAMP Ogg Vorbis Codec

Demo

Demo

Director

Disney Interactive Global Compatibility Update June 2003

DivX Codec

DivX Content Uploader

DivX Converter

DivX Player

DivX Web Player

DocProc

Démo jouable Aventures d'Adibou V.3.00 on C

Fax

HijackThis 1.99.1

HP Deskjet Preloaded Printer Drivers

HP Image Zone 3.5

HP PSC & OfficeJet 3.0

HP Software Update

hpg2436

hpg3970

hpg4600

hpg5530

hpg8200

hpmdtab

HpSdpAppCoreApp

HPSystemDiagnostics

InstantShare

iTunes

J2SE Runtime Environment 5.0 Update 10

J2SE Runtime Environment 5.0 Update 2

Java 2 Runtime Environment, SE v1.4.2_06

Java SE Runtime Environment 6 Update 1

La Boîte à Bidules de l'Oncle Ernest

Language Pack for Ad-aware 6

Lecteur Windows Media 10

LiveReg (Symantec Corporation)

LiveUpdate 2.6 (Symantec Corporation)

Memories Disc Creator 2.0

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft LifeCam

Microsoft Office 2000 CD-ROM 2

Microsoft Office 2000 Professional

Microsoft Office XP Media Content

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905495)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB914798)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour pour Windows XP (KB835409)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mon Conte de Fées

MSRedist

Navilog1 Version 2.0.3

Neodivx

Norton AntiVirus 2004

Norton AntiVirus 2004 (Symantec Corporation)

Norton AntiVirus Parent MSI

Norton Personal Firewall

Norton WMI Update

NVIDIA Display Driver

NVIDIA GART Driver

Outerinfo

Package du correctif Windows XP [voir q329256 pour plus de détails]

Package du correctif Windows XP [voir Q331958 pour plus de détails]

Pando

Photo et imagerie HP 3.5 - HP Devices

PhotoGallery

Photosmart 140,240,7200,7600,7700,7900 Series

Picasa 2

PrintScreen

PS2

PS7200

PSShortcutsP

PSShortP

Python 2.2 combined Win32 extensions

Python 2.2.1

QFolder

QuickProjects

QuickTime

Readme

RealPlayer

Scan

SkinsHP1

SkinsHP2

Sonic Update Manager

SpeedTouch USB Software

Spybot - Search & Destroy 1.3

Symantec Network Drivers Update

SymNet

TrayApp

Unload

Wanadoo

Wanadoo Messager

WebFldrs XP

WebReg

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Media Format Runtime

Windows Movie Maker 2.0

Xvid 1.1.2 final uninstall

 

 

 

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\Program Files

 

17/06/2007 23:44 <REP> .

17/06/2007 23:44 <REP> ..

05/03/2007 22:45 <REP> Adobe

21/12/2005 21:12 <REP> Ahead

17/06/2007 20:54 17 180 760 antivir_workstation_win7u_en_h.exe

09/11/2006 23:44 <REP> Apple Software Update

22/03/2006 12:57 <REP> a-squared

17/06/2007 15:13 <REP> AVG Anti-Spyware 7.5

12/11/2006 00:38 <REP> backups

30/05/2006 22:31 <REP> BitSpirit

17/06/2007 19:40 <REP> CCleaner

12/11/2006 01:41 <REP> CleanUp!

01/01/2004 12:02 <REP> Common Files

03/06/2007 15:16 <REP> DivX

05/12/2004 22:49 <REP> Easy Internet signup

17/06/2007 22:47 <REP> Fichiers communs

02/06/2006 21:39 <REP> FreeWire

07/03/2007 14:25 <REP> Google

16/02/2005 11:06 218 112 HijackThis.exe

17/06/2007 22:53 8 555 hijackthis.log

01/01/2004 11:49 <REP> HP

27/03/2006 22:16 <REP> Illustrate

28/05/2006 15:29 <REP> Incomplete

29/11/2006 22:58 <REP> IntelliTamper

20/07/2004 22:11 <REP> Internet Explorer

09/11/2006 23:47 <REP> iPod

09/11/2006 23:48 <REP> iTunes

15/04/2007 10:44 <REP> Java

02/10/2004 12:34 <REP> Lavasoft

28/05/2006 15:23 <REP> Lycos

20/01/2007 15:50 <REP> Messenger

01/08/2004 23:38 <REP> microsoft frontpage

31/01/2007 20:12 <REP> Microsoft LifeCam

17/06/2007 20:08 <REP> Microsoft Office

10/02/2007 01:51 <REP> Movie Maker

15/04/2005 21:28 <REP> mp3DirectCut

01/01/2004 09:51 <REP> MSN

01/01/2004 09:51 <REP> MSN Gaming Zone

17/01/2007 21:15 <REP> MSN Messenger

17/06/2007 23:53 <REP> Navilog1

20/01/2007 16:32 <REP> NetMeeting

11/06/2006 01:49 <REP> Norton AntiVirus

20/07/2005 21:27 <REP> Norton Personal Firewall

10/02/2007 15:31 <REP> Outlook Express

11/02/2007 19:10 <REP> Pando Networks

07/03/2007 14:25 <REP> Picasa2

01/01/2004 12:43 <REP> Presario PC Help

19/02/2007 23:39 <REP> QuickTime

06/10/2004 10:46 <REP> Real

15/09/2004 20:45 <REP> Services en ligne

16/06/2007 11:23 <REP> Spybot - Search & Destroy

18/10/2005 19:38 <REP> Symantec

16/09/2004 19:19 <REP> SymNetDrv

16/09/2004 18:57 <REP> Thomson

20/01/2007 16:50 <REP> Ubi Soft

10/02/2007 01:21 <REP> VirtualDubMOD

17/06/2007 22:54 <REP> Wanadoo

16/09/2004 18:57 <REP> Wanadoo Messager

13/09/2004 20:13 <REP> WinASPI

20/01/2007 16:12 <REP> Windows Media Player

20/04/2004 11:07 <REP> Windows NT

02/01/2005 14:00 <REP> WinRAR

02/01/2005 13:59 1 256 895 wrar341fr.exe

01/01/2004 09:56 <REP> xerox

10/02/2007 02:01 <REP> Xvid

4 fichier(s) 18 664 322 octets

61 Rép(s) 30 713 921 536 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\Program Files\fichiers communs

 

17/06/2007 22:47 <REP> .

17/06/2007 22:47 <REP> ..

19/06/2006 21:41 <REP> ACD Systems

21/02/2007 00:18 <REP> Adobe

14/08/2004 14:38 <REP> AOL

01/08/2004 13:56 <REP> Designer

01/01/2004 11:32 <REP> Hewlett-Packard

01/01/2004 11:33 <REP> HP

13/09/2004 20:12 <REP> InstallShield

20/07/2004 22:10 <REP> InterVideo

01/01/2004 10:57 <REP> Java

17/06/2007 20:12 <REP> Microsoft Shared

01/01/2004 09:53 <REP> MSSoap

01/01/2004 09:48 <REP> ODBC

10/10/2004 13:38 <REP> Real

20/04/2004 11:07 <REP> Services

03/08/2004 16:35 <REP> Sonic

01/01/2004 09:48 <REP> SpeechEngines

17/06/2007 22:51 <REP> Symantec Shared

17/06/2007 20:08 <REP> System

18/09/2004 13:09 <REP> xing shared

0 fichier(s) 0 octets

21 Rép(s) 30 713 921 536 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

01/08/2004 23:29 <REP> .

01/08/2004 23:29 <REP> ..

01/08/2004 15:08 <REP> 1033

01/08/2004 23:30 <REP> 1036

15/02/2001 05:45 1 318 912 MSONSEXT.DLL

03/06/1999 22:09 122 937 MSOWS409.DLL

07/03/2001 17:00 127 033 MSOWS40c.DLL

22/01/2001 03:25 86 016 PKMWS.DLL

18/03/1999 06:37 593 977 RAGENT.DLL

5 fichier(s) 2 248 875 octets

4 Rép(s) 30 713 921 536 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\Program Files\common files

 

01/01/2004 12:02 <REP> .

01/01/2004 12:02 <REP> ..

20/07/2004 22:11 <REP> System

0 fichier(s) 0 octets

3 Rép(s) 30 713 921 536 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\

 

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

17/06/2007 20:52 99 072 mevqvvvb1.exe

17/06/2007 20:53 17 706 mevqvvvb2.exe

17/06/2007 20:56 8 769 mevqvvvb3.exe

5 fichier(s) 297 067 octets

0 Rép(s) 30 713 921 536 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 743D-107C

 

Répertoire de C:\

 

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.0.2.16\iTunesSetupAdmin.exe

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\QuickTime 7.1.3.100\QuickTimeInstallerAdmin.exe

c:\Documents and Settings\Propriétaire\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\Propriétaire\Bureau\cutkiller.exe

c:\Documents and Settings\Propriétaire\Bureau\Navilog1.exe

c:\Documents and Settings\Propriétaire\Bureau\VirtumundoBeGone.exe

c:\Documents and Settings\Propriétaire\Bureau\VundoFix.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Propriétaire\Local Settings\Application Data\Pando\Pando Files\Upgrade16899\PandoSetup.exe

c:\Documents and Settings\Propriétaire\Local Settings\Application Data\Pando\Pando Files\Upgrade17678\PandoSetup.exe

c:\Documents and Settings\Propriétaire\Local Settings\Application Data\Pando\Pando Files\Upgrade18255\PandoSetup.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\OD20GW61\Navilog1[1].exe

c:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\COKTEL\Désinstalleur Coktel.exe

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:35:13, on 18/06/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\WINDOWS\vVX1000.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\System32\hphmon05.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\WINDOWS\system32\ps2.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Pando Networks\Pando\Pando.exe

C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvhid.dll,startup

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\bgpdagja.dll",realset

O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1143048092015

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.crucial.com/controls/cpcScanner.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D3D7455-5539-47E4-A187-000AAA952B66}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[Thanos]

ok je vais te préparer une procédure : en attendant, est ce que tu peux faire scanner ce fichier en ligne ? >

 

C:\mevqvvvb2.exe

 

Rend toi à cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier mevqvvvb2.exe que tu trouveras en allant dans le dossier C:\

 

Tu cliques une fois sur le fichier mevqvvvb2.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Si tu ne vois pas ce fichier, fais ceci >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Modifié le 17 juin 2007 par charles ingals

[Thanos]

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

J'ai bien l'impression que Norton a empêché VundoFix de fonctionner normalement !!

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Pb adware Virtumonde et Smitfraud-C.Toolbar888 (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

Étape 1:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvhid.dll,startup

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\bgpdagja.dll",realset

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

Double-clique ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 5:

• Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :
  
  C:\WINDOWS\System32\wyadd.ini
  C:\WINDOWS\System32\ajgadpgb.ini
  C:\WINDOWS\System32\bgpdagja.dll
  C:\WINDOWS\System32\wyadd.bak1
  C:\WINDOWS\System32\ddayw.dll
  C:\WINDOWS\System32\guiqrpnj.ini
  C:\WINDOWS\System32\jnprqiug.dll
  
   
  
• Double-clique sur OTMoveIt.exe afin de lancer le programme.
  
• Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  
• Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
  
• Clique à présent sur le bouton "MoveIt!".
  

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

Étape 6:

 

Redémarre normalement et désinstalle les programmes suivants >

J2SE Runtime Environment 5.0 Update 10

J2SE Runtime Environment 5.0 Update 2

Java 2 Runtime Environment, SE v1.4.2_06

Navilog1 Version 2.0.3

Si tu veux continuer à utiliser Spybot, met le à jour!! la version que tu as est ancienne. La dernière est la 1.4.

 

Poste stp >

 

- un nouveau rapport hijackthis.

- le rapport de OTMoveIt

- Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

@+

[coyotito]

Bonsoir,

 

Je viens de faire tout ce qui était demandé.

Mais avant, qques infos :

- les fenêtres continuent à s'ouvrir,

- le fichier mevqvvvb2.exe existe aussi avec ...b1 et ...b3.exe

- dans hijackthis, je n'ai pas trouvé la ligne à fixer contenant bgpdagja.dll

- au démarrage, mon ordi me dit qu'il manque le drvhid.dll,

- il n'affiche plus que 256 Mo de RAM alors que j'en ai rajouté 512 de plus il y a qques mois (il affichait encore 768 Mo la semaine dernière).

 

Sinon, les rapports :

 

Scan VIRUSTOTAL

 

 

STATUS: STOPPED

Service is stopped in this moments. Scanning of your sample has not been finalized and results has been lost. If you wish to scan it, please send it again.

Antivirus Version Update Result

AhnLab-V3 2007.6.16.0 06.18.2007 no virus found

AntiVir 7.4.0.32 06.18.2007 no virus found

Authentium 4.93.8 06.18.2007 could be a corrupted executable file

Avast 4.7.997.0 06.18.2007 no virus found

AVG 7.5.0.467 06.18.2007 no virus found

BitDefender 7.2 06.18.2007 no virus found

CAT-QuickHeal 9.00 06.18.2007 no virus found

ClamAV devel-20070416 06.18.2007 no virus found

DrWeb 4.33 06.18.2007 no virus found

eSafe 7.0.15.0 06.17.2007 suspicious Trojan/Worm

eTrust-Vet 30.7.3726 06.18.2007 no virus found

Ewido 4.0 06.18.2007 no virus found

FileAdvisor 1 06.18.2007 no virus found

Fortinet 2.85.0.0 06.18.2007 no virus found

F-Prot 4.3.2.48 06.15.2007 no virus found

F-Secure 6.70.13030.0 06.18.2007 no virus found

Ikarus T3.1.1.8 06.18.2007 no virus found

Kaspersky 4.0.2.24 06.18.2007 no virus found

McAfee 5054 06.15.2007 no virus found

Microsoft 1.2607 06.18.2007 no virus found

NOD32v2 2336 06.18.2007 no virus found

Norman 5.80.02 06.18.2007 no virus found

Panda 9.0.0.4 06.18.2007 no virus found

Aditional Information

File size: 17706 bytes

MD5: 4ada1de006fb88576623c184eec0bde3

SHA1: b92b0fc6e5ee3d1da225aff3bf041e64cbd43e4c

 

 

Scan HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 21:27:44, on 18/06/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Norton Personal Firewall\NISUM.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\WINDOWS\vVX1000.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\hphmon05.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Pando Networks\Pando\Pando.exe

C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\msiexec.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1143048092015

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.crucial.com/controls/cpcScanner.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

Rapport OT Move It

 

C:\WINDOWS\System32\wyadd.ini moved successfully.

C:\WINDOWS\System32\ajgadpgb.ini moved successfully.

File/Folder C:\WINDOWS\System32\bgpdagja.dll not found.

C:\WINDOWS\System32\wyadd.bak1 moved successfully.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\ddayw.dll

C:\WINDOWS\System32\ddayw.dll NOT unregistered.

File move failed. C:\WINDOWS\System32\ddayw.dll scheduled to be moved on reboot.

C:\WINDOWS\System32\guiqrpnj.ini moved successfully.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\jnprqiug.dll

C:\WINDOWS\System32\jnprqiug.dll NOT unregistered.

C:\WINDOWS\System32\jnprqiug.dll moved successfully.

 

Created on 06/18/2007 21:09:48

 

 

Rapport PANDA

 

L'analyse est toujours en cours et va encore durer pas mal de temps je pense.

Je le posterai plus tard (pour l'instant, 9 logiciels espions, 2 outils de piratage ou rootkits et 1 numéroteur !!!!)

 

Encore merci.

[coyotito]

Rapport Panda

 

C:\WINDOWS\System32\wyadd.ini moved successfully.

C:\WINDOWS\System32\ajgadpgb.ini moved successfully.

File/Folder C:\WINDOWS\System32\bgpdagja.dll not found.

C:\WINDOWS\System32\wyadd.bak1 moved successfully.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\ddayw.dll

C:\WINDOWS\System32\ddayw.dll NOT unregistered.

File move failed. C:\WINDOWS\System32\ddayw.dll scheduled to be moved on reboot.

C:\WINDOWS\System32\guiqrpnj.ini moved successfully.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\jnprqiug.dll

C:\WINDOWS\System32\jnprqiug.dll NOT unregistered.

C:\WINDOWS\System32\jnprqiug.dll moved successfully.

 

Created on 06/18/2007 21:09:48

[Thanos]

salut

 

Pour ce qui est de ces fichiers > mevqvvvb2.exe etc... ils sont à éliminer (liés à un faux utilitaire nommé Ultimate defender)

avant cela, j'aimerai stp en récupérer une copie >

 

Rend toi sur cette page > http://siri.urz.free.fr/upload/

A côté de

Lien vers le message du forum où le fichier a été demandé:

colle le lien de cette discussion.

Clique sur le bouton parcourir, une fois ceci fait cherche dans le répertoire C:\ et sélectionne un de ces fichiers.

Clique sur Upload

merci

- au démarrage, mon ordi me dit qu'il manque le drvhid.dll,

ca ne devrait plus être le cas au prochain redémarrage car l'entrée de registre a été éliminée lorsque tu as utilisé hijackthis.

 

- il n'affiche plus que 256 Mo de RAM alors que j'en ai rajouté 512 de plus il y a qques mois (il affichait encore 768 Mo la semaine dernière).

Etonnant !! je ne suis pas sûr du tout que ce soit lié au malwares ! à quel endroit l'affichage de la mémoire as t'il changé??

 

Note: tu ne m'as pas collé le rapport de Panda mais celui de OtMoveIt !!!