ctfmon infecté?...acces refusé sur disque dur externe

[sleam]

bonjour a l'equipe et ceux qui liront au detour d'une page

j'expose mon probleme...

hier avast me detecte que ctfmon est infecté par un trojan...jusque la ok mise en quarantaine

il me dit aussi( avast) que mon disque dur externe contient ds le dossier recycled(dossier caché) un ctfmon.exe infecté lui aussi

depuis je ne sais plus ouvrir mon disque externe normalement windows m'indique acces refusé

j'ai tenté quelques truc suites a diverses recherches sur le net ms rien n'y fait...c'est pq je demande de l'aide sur ce forum

si quelqu'un a un element de reponse je suis a l'ecoute

je tourne sous xp pro et le probleme ne se pose pas sous vista( les 2 sont present sur mon disque)

d'avance merci a ceux qui pourront m'aider...

[Gof]

Bonsoir sleam

 

Le souci est-il toujours présent ?

 

Sous xp, génère un rapport hijackthis comme ceci.

 

 

Télécharge HijackThis ici

• Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  
• Double-clique sur poste de travail, double-clique sur l'icone de C.
  
• Double-clique sur le répertoire Program Files et fais un clic-droit dans la fenêtre et choisis "nouveau dossier"
  
• Nomme le "HijackThis".
  
• Décompresse le programme précédemment téléchargé dans ce nouveau dossier HijackThis.
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
  
• Exécute HijackThis et clique sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  
• Ouvre le rapport HijackThis précédemment sauvegardé et copie-colle le dans ta prochaine réponse
  

A bientôt.

[sleam]

hello gof...merci de t'etre penché sur mon p'tit probleme...

en fait oui ca subsiste "acces refusé quand j'ouvre mon disque dur externe...celui ds mon pc ne pose pas ce souci

je poste mon rapport hijackthis...

sinon est ce normal qu'un ctfmon.exe soit present sur un disque dur externe( qui ne contient pas de partition windows)

il etait de taille plus importante que le ctfmon.exe present ds c/windows/system 32 qui lui est clean apparement vu que non detecter comme infecté

avast me l'a detecté aussi sur le c/recycled/recycled et ds documents&settings/sleam/menu demarrer/programmes/demarrage

 

rapport hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 18:11:40, on 01/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Comodo\Firewall\CPF.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SuperCopier\SuperCopier.exe

C:\Program Files\Comodo\Firewall\cmdagent.exe

C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Shareaza\Shareaza.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe

[Gof]

Bonsoir sleam

 

Surprenant ton histoire de fichier cftmon.

 

avast me l'a detecté aussi sur le c/recycled/

Vide ta corbeille, ce chemin correspond à celle-ci. Si cette dernière est vide, crée un fichier texte "bidon" et supprime le, de sorte de pouvoir vider normalement la corbeille.

 

et ds documents&settings/sleam/menu demarrer/programmes/demarrage

Cela n'apparait pas dans ton rapport pourtant. S'agit il du fichier suspect, ou d'un raccourci en direction de ce fichier suspect ?

 

Si tu peux accéder à ce fichier, essaie de le renommer en rajoutant derrière l'extension ".old". Fais le analyser si tu le peux en ligne sur l'un des liens suivants :

À faire soumettre ici=>

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur ces deux adresse, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

Je te donne les deux liens au cas où l'un d'entre eux serait très sollicité. Ne le fais pas analyser sur les deux, un seul rapport suffira. Pense à bien copier-coller, en plus du résultat, les informations additionnelles telles que MD5, etc. qui apparaissent en général en fin de page de l'analyse du fichier.

 

Que tu y ais accès ou non, génère un rapport comme ceci :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

A bientôt.

[sleam]

hello gof

 

j'ai donc suivi tes instructions

la corbeille etait vide

pour faire analyser le ctfmon.exe en question je l'ai restauré de la quarantaine d'avast et renommé avec l'extension indiqué ( celui qui etait sencé etre lancé au demarrage)

je joints le rapport jotti ( aucun doute sur l'infection..j'avais songé a un faux positif d'avast un peu comme l'active x du scan on line panda ms non...)

 

File: ctfmon.old

Status:

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: 8a8d59918cbfa19e5856e0f0ee4fa42d

Packers detected:

-

Bit9 reports: High threat detected (more info)

Scanner results

Scan taken on 02 Jul 2007 20:16:59 (GMT)

A-Squared

Found Trojan.Win32.VB.aqt

AntiVir

Found TR/VB.aqt.7

ArcaVir

Found Trojan.Vb.Aqt

Avast

Found Win32:VB-EAA

AVG Antivirus

Found Generic2.OJ

BitDefender

Found Trojan.Vb.AQT

ClamAV

Found Trojan.VB-377

Dr.Web

Found Trojan.Recycle

F-Prot Antivirus

Found W32/Trojan.XUP

F-Secure Anti-Virus

Found Trojan.Win32.VB.aqt

Fortinet

Found W32/VB.AQT!tr

Kaspersky Anti-Virus

Found Trojan.Win32.VB.aqt

NOD32

Found Win32/VB.NFZ

Norman Virus Control

Found W32/VBTroj.FTC

Panda Antivirus

Found Trj/FakeRecycle.B

Rising Antivirus

Found Worm.VB.he

VirusBuster

Found Trojan.VB.YEI

VBA32

Found Trojan.Win32.VB.AQT

 

 

je joint aussi le rapport diag help

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 02/07/2007 à 22:01:39,39

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\inspect.sys -->21/05/2007 23:16:36

C:\WINDOWS\System32/drivers\cmdmon.sys -->21/05/2007 23:16:33

C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:55

C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42

C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:41

C:\WINDOWS\System32/drivers\aswTdi.sys -->30/04/2007 17:38:51

C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:23

 

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->01/07/2007 18:04:53

C:\WINDOWS\System32\wpa.dbl -->30/06/2007 19:26:03

C:\WINDOWS\System32\MRT.exe -->05/06/2007 23:38:42

C:\WINDOWS\System32\LogonMonitor.log -->01/06/2007 17:19:03

C:\WINDOWS\System32\cmdow.exe -->25/05/2007 16:15:41

C:\WINDOWS\System32\BASSMOD.dll -->21/05/2007 00:38:39

C:\WINDOWS\System32\CONFIG.NT -->07/05/2007 13:40:06

C:\WINDOWS\System32\mshtml.dll -->04/05/2007 05:36:14

C:\WINDOWS\System32\aswBoot.exe -->30/04/2007 17:46:10

C:\WINDOWS\System32\AVASTSS.scr -->30/04/2007 17:35:28

C:\WINDOWS\System32\schannel.dll -->25/04/2007 16:22:35

C:\WINDOWS\System32\' -->21/04/2007 02:14:44

C:\WINDOWS\System32\wininet.dll -->18/04/2007 14:32:02

C:\WINDOWS\System32\urlmon.dll -->18/04/2007 14:32:01

C:\WINDOWS\System32\shlwapi.dll -->18/04/2007 14:32:01

C:\WINDOWS\System32\shdocvw.dll -->18/04/2007 14:32:01

C:\WINDOWS\System32\pngfilt.dll -->18/04/2007 14:32:00

C:\WINDOWS\System32\mstime.dll -->18/04/2007 14:32:00

C:\WINDOWS\System32\msrating.dll -->18/04/2007 14:32:00

C:\WINDOWS\System32\mshtmled.dll -->18/04/2007 14:32:00

C:\WINDOWS\System32\jsproxy.dll -->18/04/2007 14:31:57

C:\WINDOWS\System32\inseng.dll -->18/04/2007 14:31:57

C:\WINDOWS\System32\iepeers.dll -->18/04/2007 14:31:57

C:\WINDOWS\System32\extmgr.dll -->18/04/2007 14:31:57

C:\WINDOWS\System32\dxtrans.dll -->18/04/2007 14:31:57

 

C:\WINDOWS.log -->02/07/2007 13:08:22

C:\WINDOWS\WindowsUpdate.log -->02/07/2007 13:08:21

C:\WINDOWS\bootstat.dat -->02/07/2007 13:07:07

C:\WINDOWS\SchedLgU.Txt -->02/07/2007 06:11:09

C:\WINDOWS\mozver.dat -->01/07/2007 18:05:08

C:\WINDOWS\win.ini -->27/06/2007 15:08:52

C:\WINDOWS\NeroDigital.ini -->27/06/2007 01:18:35

C:\WINDOWS\diagwrn.xml -->12/05/2007 22:09:48

C:\WINDOWS\diagerr.xml -->12/05/2007 22:09:48

C:\WINDOWS\CDPlayer.ini -->06/05/2007 04:16:13

C:\WINDOWS\Radio_Fr.ini -->17/04/2007 01:19:50

C:\WINDOWS\iun6002.exe -->04/03/2007 22:57:05

C:\WINDOWS\ALCFDRTM.VER -->28/02/2007 03:57:42

C:\WINDOWS\ALCFDRTM.EXE -->28/02/2007 03:57:42

C:\WINDOWS\Ascd_tmp.ini -->28/02/2007 03:47:47

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 17:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 31 434 682 368 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

21/05/2007 00:25 <REP> .

21/05/2007 00:25 <REP> ..

06/02/2007 19:45 65 desktop.ini

1 fichier(s) 65 octets

 

Total des fichiers listés :

1 fichier(s) 65 octets

2 Rép(s) 31 434 682 368 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

REGEDIT4

 

[taskmgr.exe]

 

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-02 22:02:23

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

 

Process list by traversal of KiWaitListHead

 

4 - System

872 - ashMaiSv.exe

888 - explorer.exe

1040 - ashDisp.exe

1048 - ashWebSv.exe

1084 - cledx.exe

1112 - cpf.exe

1160 - csrss.exe

1200 - winlogon.exe

1236 - TeaTimer.exe

1276 - services.exe

1288 - lsass.exe

1492 - svchost.exe

1560 - svchost.exe

1680 - svchost.exe

1920 - cmdagent.exe

2028 - ashServ.exe

2232 - alg.exe

2264 - Shareaza.exe

2424 - firefox.exe

4092 - cmd.exe

 

Total number of processes = 21

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806FD000 - \WINDOWS\system32\hal.dll

F7997000 - \WINDOWS\system32\KDCOM.DLL

F78A7000 - \WINDOWS\system32\BOOTVID.dll

F7456000 - imagesrv.sys

F742F000 - d346bus.sys

F7400000 - ACPI.sys

F7999000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F73EF000 - pci.sys

F7497000 - isapnp.sys

F7A5F000 - PCIIde.sys

F7717000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS

F799B000 - intelide.sys

F74A7000 - MountMgr.sys

F73D0000 - ftdisk.sys

F799D000 - dmload.sys

F73AA000 - dmio.sys

F771F000 - PartMgr.sys

F74B7000 - VolSnap.sys

F7727000 - ElbyVCD.sys

F7392000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

F737A000 -

F772F000 - iteatapi.sys

F799F000 - d346prt.sys

F79A1000 - imagedrv.sys

F74C7000 - disk.sys

F74D7000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F735B000 - fltMgr.sys

F74E7000 - PxHelp20.sys

F7344000 - KSecDD.sys

F72B7000 - Ntfs.sys

F74F7000 - inspect.sys

F728A000 - \WINDOWS\System32\DRIVERS\NDIS.SYS

F7270000 - Mup.sys

F7667000 - \SystemRoot\system32\DRIVERS\intelppm.sys

F6B43000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F6B2F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F6B09000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys

F77DF000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F6AE6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F77E7000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F6AC0000 - \SystemRoot\system32\DRIVERS\e100b325.sys

F6A6F000 - \SystemRoot\system32\DRIVERS\Cap713x.sys

F7677000 - \SystemRoot\system32\DRIVERS\STREAM.SYS

F6A4C000 - \SystemRoot\system32\DRIVERS\ks.sys

F77EF000 - \SystemRoot\system32\DRIVERS\fdc.sys

F6A38000 - \SystemRoot\system32\DRIVERS\parport.sys

F7687000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F77F7000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F6A27000 - \SystemRoot\system32\DRIVERS\serial.sys

F7240000 - \SystemRoot\system32\DRIVERS\serenum.sys

F723C000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

F7238000 - \SystemRoot\system32\drivers\pfc.sys

F7B45000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

F7697000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F76A7000 - \SystemRoot\system32\DRIVERS\redbook.sys

F77FF000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys

F76B7000 - \SystemRoot\system32\DRIVERS\imapi.sys

F7B49000 - \SystemRoot\system32\DRIVERS\audstub.sys

F76C7000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F722C000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F6A10000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F76D7000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F76E7000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F7807000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F69FF000 - \SystemRoot\system32\DRIVERS\psched.sys

F76F7000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F780F000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F7817000 - \SystemRoot\system32\DRIVERS\raspti.sys

F692E000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F7707000 - \SystemRoot\system32\DRIVERS\termdd.sys

F781F000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F79B1000 - \SystemRoot\system32\DRIVERS\swenum.sys

F68FA000 - \SystemRoot\system32\DRIVERS\update.sys

F720C000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F7547000 - \SystemRoot\system32\DRIVERS\cledx.sys

F7557000 - \SystemRoot\System32\Drivers\NDProxy.SYS

EE660000 - \SystemRoot\system32\drivers\RtkHDAud.sys

EE63E000 - \SystemRoot\system32\drivers\portcls.sys

F7587000 - \SystemRoot\system32\drivers\drmk.sys

F7597000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F79B5000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F79B7000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7AA6000 - \SystemRoot\System32\Drivers\Null.SYS

F79B9000 - \SystemRoot\System32\Drivers\Beep.SYS

F782F000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F7837000 - \SystemRoot\System32\drivers\vga.sys

F79BB000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F783F000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7847000 - \SystemRoot\System32\Drivers\Npfs.SYS

F6C2E000 - \SystemRoot\system32\DRIVERS\rasacd.sys

EE5E3000 - \SystemRoot\system32\DRIVERS\ipsec.sys

EE58B000 - \SystemRoot\system32\DRIVERS\tcpip.sys

EE578000 - \SystemRoot\System32\DRIVERS\cmdmon.sys

EE52F000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F75B7000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F75C7000 - \SystemRoot\System32\Drivers\aswTdi.SYS

EE467000 - \SystemRoot\system32\DRIVERS\netbt.sys

EE445000 - \SystemRoot\System32\drivers\afd.sys

F75D7000 - \SystemRoot\system32\DRIVERS\netbios.sys

EE41A000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F7AB7000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS

EE3AB000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

EE397000 - \SystemRoot\system32\drivers\khips.sys

F75E7000 - \SystemRoot\System32\Drivers\Fips.SYS

EE371000 - \SystemRoot\system32\Drivers\rdwm1046.sys

F7244000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F75F7000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F785F000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F7867000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

F68CD000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

F68C9000 - \SystemRoot\system32\DRIVERS\mouhid.sys

F7617000 - \SystemRoot\System32\Drivers\Cdfs.SYS

EE331000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F79C7000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F68B9000 - \SystemRoot\System32\drivers\Dxapi.sys

F786F000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7BD9000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA0D000 - \SystemRoot\System32\ati2cqag.dll

BFA47000 - \SystemRoot\System32\ati3duag.dll

BFC6A000 - \SystemRoot\System32\ativvaxx.dll

ED209000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

ED04B000 - \SystemRoot\System32\Drivers\aswMon2.SYS

ECE06000 - \SystemRoot\system32\drivers\wdmaud.sys

ECFEB000 - \SystemRoot\system32\drivers\sysaudio.sys

ECDA9000 - \SystemRoot\System32\Drivers\Nsynas32.SYS

F7A3D000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F77AF000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

ECABF000 - \SystemRoot\system32\DRIVERS\srv.sys

EC9C3000 - \SystemRoot\System32\Drivers\aswRdr.SYS

F7A9B000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 134

 

Liste des programmes installes

 

A0 DK1 v1.2

Ad-Aware SE Personal

Adobe Audition 1.5

Adobe Flash Player Plugin

Adobe Reader 7.0.9 - Français

Anarchy Effects VST v1.4

AngstroLooper 0.9 beta

Apple Software Update

Arturia Arp2600 V v1.0

ASUS TV FM CARD

ASUS TV FM CARD

ATI Display Driver

Audiorealism BassLine VSTi v1.06

avast! Antivirus

BeClean

CCleaner (remove only)

CD Wave Editor version 1.95

CloneCD

CloneDVD

Commande ECHO désactivée.

COMODO Firewall Pro

dBpowerAMP Mp4 Codec

dBpowerAMP Music Converter

dBpowerAMP WMA V9.1 Codec

DirectVobSub (remove only)

Emagic EVP73 VSTi v1.0

EVEREST Home Edition v2.01

Google Earth

High Definition Audio Driver Package - KB835221

HijackThis 1.99.1

Hijackthis Version Française

Home'Bank Light 3.3.3

Intel® PRO Network Adapters and Drivers

ITE IT8211 8212 ATA ATAPI Controller

iTunes

J2SE Runtime Environment 5.0 Update 11

Java SE Runtime Environment 6 Update 1

K-Lite Mega Codec Pack 1.53

Le Centre de Contrôle de Licences de Syncrosoft

Live 6.0.1

MA_CMIDI

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 Hotfix (KB886903)

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0

Microsoft Baseline Security Analyzer 2.0.1

Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)

MIDI-OX

MIDI Yoke

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928090)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929969)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931768)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933566)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB931836)

Mozilla Firefox (2.0.0.4)

NASA World Wind 1.4

Native Instruments Absynth v3.0

Native Instruments Pro52 v2.5

Native Instruments Traktor DJ Studio v2.6.1.022

Native Instruments Xpress Keyboards v1.0.1.4

Nero 7 Premium

No-IP.com DUC (remove only)

OhmForce Ohmygod VST2

OpenOffice.org 2.0

PartitionMagic

Pentagon I 1.3

PowerQuest PartitionMagic 8.0

QuickTime

Radio Fr Solo 2.1

Realtek High Definition Audio Driver

Reason 3.0

reFX Beast VSTi v1.01

ReFX PlastiCZ VSTi v1.02

ReFX Vanguard VSTi v1.04

Sample Tank XL

Security Update for Microsoft .NET Framework 2.0 (KB922770)

Security Update pour Microsoft .NET Framework 2.0 (KB917283)

Shareaza version 2.2.1.0

Sony ACID Pro 5.0

Sony Sound Forge 8.0

SoulSeek Client 156c

Spybot - Search & Destroy 1.4

SpywareBlaster v3.5.1

Steinberg Cubase SX v3.0.2.623

Steinberg HALion v3.1.0.947

SuperCopier

Synapse Junglist VSTi v3.2

SyncroSoft Emu (Remove only)

TBL BassLine v1.3 VSTi

Total Recorder 5.0

TuneUp Utilities 2007

VideoLAN VLC media player 0.8.6a

VirtualDubMOD 1.5.10.2 b2540 Fr

Waldorf PPG Wave2V v1.10

WebFldrs XP

Winamp (remove only)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

WinRAR archiver

xp-AntiSpy 3.96-4

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\Program Files

 

26/06/2007 00:13 <REP> .

26/06/2007 00:13 <REP> ..

06/02/2007 21:27 <REP> Ableton

21/02/2007 15:04 <REP> Adobe

06/02/2007 20:32 <REP> Alwil Software

16/04/2007 23:03 <REP> Apple Software Update

28/06/2007 23:11 <REP> BeClean

06/02/2007 22:09 <REP> CCleaner

14/03/2007 21:32 <REP> CD Wave

21/05/2007 18:22 <REP> Comodo

06/02/2007 19:43 <REP> ComPlus Applications

26/02/2007 03:43 <REP> CyberLink

21/04/2007 20:24 <REP> DirectVobSub

06/02/2007 21:02 <REP> D-Tools

06/05/2007 05:10 <REP> Elaborate Bytes

23/05/2007 18:05 <REP> Fichiers communs

27/06/2007 21:41 <REP> FLStudio4

18/05/2007 02:28 <REP> Google

22/04/2007 04:42 <REP> HighCriteria

01/07/2007 18:11 <REP> Hijackthis Version Française

06/02/2007 22:03 <REP> Illustrate

21/05/2007 17:46 <REP> InfoProcess

18/06/2007 22:08 <REP> ING

14/06/2007 19:07 <REP> Internet Explorer

16/04/2007 23:03 <REP> iPod

06/02/2007 20:02 <REP> ITE

16/04/2007 23:03 <REP> iTunes

21/05/2007 17:55 <REP> JAP

01/07/2007 18:04 <REP> Java

06/02/2007 20:53 <REP> K-Lite Codec Pack

13/06/2007 23:40 <REP> Lavalys

30/04/2007 06:16 <REP> Lavasoft

08/02/2007 21:49 <REP> M-Audio MA_CMIDI

24/02/2007 17:27 <REP> Microsoft Baseline Security Analyzer 2

06/02/2007 19:46 <REP> microsoft frontpage

06/02/2007 21:50 <REP> Microsoft SQL Server

03/03/2007 17:54 <REP> MIDIOX

06/02/2007 19:44 <REP> Movie Maker

01/07/2007 18:05 <REP> Mozilla Firefox

06/02/2007 19:46 <REP> msn gaming zone

06/02/2007 22:07 <REP> MSN Messenger

26/06/2007 00:13 <REP> NASA

04/03/2007 21:24 <REP> Native Instruments

06/02/2007 20:57 <REP> Nero

06/02/2007 19:46 <REP> netmeeting

18/03/2007 19:24 <REP> nLite

13/05/2007 13:03 <REP> No-IP

15/03/2007 00:48 <REP> OpenOffice.org 2.0

06/02/2007 19:48 <REP> Outlook Express

12/05/2007 20:33 <REP> PowerQuest

06/02/2007 21:11 <REP> Propellerhead

17/04/2007 01:19 <REP> Radio Fr Solo

28/02/2007 03:48 <REP> Realtek

06/02/2007 19:44 <REP> Services en ligne

06/02/2007 22:13 <REP> Shareaza

06/02/2007 21:49 <REP> Sony

06/02/2007 21:49 <REP> Sony Setup

27/06/2007 14:49 <REP> Soulseek

30/06/2007 19:31 <REP> Spybot - Search & Destroy

01/07/2007 17:51 <REP> SpywareBlaster

06/02/2007 21:35 <REP> Steinberg

06/02/2007 20:17 <REP> Sunbelt Software

01/06/2007 23:30 <REP> SuperCopier

06/02/2007 21:34 <REP> Syncrosoft

24/06/2007 12:41 <REP> TimeAdjuster

21/05/2007 00:38 <REP> TuneUp Utilities 2007

06/02/2007 20:51 <REP> VideoLAN

26/02/2007 04:21 <REP> VirtualDubMOD

06/02/2007 21:15 <REP> VSTplugins

17/06/2007 17:49 <REP> Winamp

06/02/2007 19:46 <REP> Windows Media Player

06/02/2007 19:46 <REP> Windows NT

06/02/2007 20:55 <REP> WinRAR

06/02/2007 19:46 <REP> xerox

06/02/2007 20:30 <REP> xp-AntiSpy

24/02/2007 16:29 <REP> Zeb-Utility

0 fichier(s) 0 octets

76 Rép(s) 31 435 010 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\Program Files\fichiers communs

 

23/05/2007 18:05 <REP> .

23/05/2007 18:05 <REP> ..

23/05/2007 18:05 <REP> Adobe

06/02/2007 20:57 <REP> Ahead

04/03/2007 22:47 <REP> digidesign

08/02/2007 21:48 <REP> InstallShield

13/02/2007 05:46 <REP> Java

06/02/2007 19:51 <REP> Microsoft Shared

06/02/2007 19:44 <REP> MSSoap

06/02/2007 20:37 <REP> ODBC

06/02/2007 19:44 <REP> Services

06/02/2007 20:37 <REP> SpeechEngines

06/02/2007 19:48 <REP> System

21/05/2007 00:35 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

14 Rép(s) 31 435 010 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

06/02/2007 19:51 <REP> .

06/02/2007 19:51 <REP> ..

18/05/2001 16:57 561 209 MSONSEXT.DLL

03/06/1999 13:09 122 937 MSOWS409.DLL

07/03/2001 08:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 31 435 010 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\

 

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 31 435 010 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04FB-A3A0

 

Répertoire de C:\

 

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.1.1.5\iTunesSetupAdmin.exe

c:\Documents and Settings\sleam\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\ARPPRODUCTICON.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_12db153c.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_16496df1.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_18be6784.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_26e91eb.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_294823.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_2cd672ae.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_4ae13d6c.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_5af141bb.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_69525f90.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_7e87390c.exe

c:\Documents and Settings\sleam\Application Data\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_bb32ea6.exe

c:\Documents and Settings\sleam\Bureau\ducsetup.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\sleam\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\sleam\Bureau\maj windows\windows-kb890830-v1.30_113e1f6b41d70d8dd28a4fa11edf07bddb92b16c.exe

c:\Documents and Settings\sleam\Bureau\maj windows\windowsxp-kb933566-x86-fra_69f976963027df319e9c76b3086efa91db83756d.exe

c:\Documents and Settings\sleam\Bureau\maj windows\windowsxp-kb935839-x86-fra_9a31df27e8038a8f4754ec2157fe1a2e1d6230af.exe

c:\Documents and Settings\sleam\Bureau\maj windows\windowsxp-kb935840-x86-fra_867197a671aeae338460f4e64a63785af2fd6f17.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj internet exploreur6\windowsxp-kb931768-x86-fra_f82126616d026f25de8eee8ac4cf6a35da0fe92c.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\ndp1.1sp1-kb867460-x86_74a5b25d65a70b8ecd6a9c301a0aea10d8483a23.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\ndp1.1sp1-kb886903-x86_535f57e5a8eceab18533c50c0b0e1469ed45331f.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\ndp20-kb917283-x86_47f33d4da73611778d4526a0f867fdaaa58b8644.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\ndp20-kb922770-x86_3e0957c90e6edec04b6b02fb4e570d0dd5502f46.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windows-kb890830-v1.28_ae717ca5492beb10f5116c62dd55a14b4aa19736.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsmedia10-kb917734-x86-fra_398baf38f8bbcc57a2a7c45011a66a525c1af9af.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb911280-v2-x86-fra_93d548a15fa83d64ff1be53bc4f41ea03f2a886f.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb914388-x86-fra_aef818cfcbb325e51cab6231b1cefcc9dfa5f161.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb914389-x86-fra_81be55ceb052107d94b243d79d2395eee1ba784c.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb917422-x86-fra_87d6bd61784ece15288b76d2dfc373d478e5bf89.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb917953-x86-fra_5c22161038a24c8b5b3bc3bf9abca8a971502b6a.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb918118-x86-fra_7d342b4fab7b7f7612a8f57be7f018786c47ddc8.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb918439-x86-fra_41c3ff029cd4e592abec6c1f5455d934d9fbea42.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb919007-x86-fra_c2da477b18f56a75b31ca084ab66cdd93f457c62.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb920213-x86-fra_ef6a03f05c934eecf282b50996415efd59c1c862.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb920670-x86-fra_66c26b59c7c29573626729c752bbc8ea4e5f1433.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb920683-x86-fra_6f7763695a56fa2489c24faa287d8dfcb18ff5a1.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb920685-x86-fra_2e1cb589b926657457acd797576bd658b9f17f49.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb922819-x86-fra_562cad8d6adf8dbe1004991ff9ae250723c04cb8.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb923191-x86-fra_522a6bbdac72180f54e72194e6376c921392238e.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb923414-x86-fra_bd0dd877d3a56476e41d33931beaee6df5ecfea6.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb923689-x86-fra_512db8c597cf35392399a782fa5f1530b57e4fd7.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb923980-x86-fra_41eba1e53b4f6817fa00791df7b7fa3bd1a5ba07.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb924191-x86-fra_a85fd995547ad8bc969995c1e7ccf7bdbefb4e88.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb924270-x86-fra_cd1a31eb4b11619171dc5cbbc5427e355fbb5f11.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb924667-x86-fra_eb9e54247bc4400879f970f8d3e14efb7dc220bc.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb925902-x86-fra_eb91bcab6bf487465561f9a5b48775a60cafb4ff.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb926255-x86-fra_8764a0c10e93ae549ca825416930045a8b08f212.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb926436-x86-fra_ef0d10f61661ec489851a1a2e3a92706726e7c38.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb927779-x86-fra_ea9ffcb8b700cd5a4c00fd5292aa1e10717fe2dd.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb927802-x86-fra_23641c3200d7380a0be0f835a5beacc8ea91303b.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb928090-x86-fra_c8c89cda2ef520ae684a00c8b7a0f892c030de15.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb928255-x86-fra_f374e311f5002850ffae861f1ac3bfc3044ec2b4.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb928843-x86-fra_3761fe61035d163fd72c7a10f07baf752ea6e17c.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb929969-x86-fra_1be8e0f923d2236c104bde389c793e6ef5fca94f.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb930178-x86-fra_05eecc7b635e05785890e8c692d43a3b1bc5132d.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb931261-x86-fra_0549e055c29e3d7bfa59d6396429f39ea89c0fea.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb931784-x86-fra_aa5125a67903fce0670cd22bb4d493563e4a08f1.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj securité\windowsxp-kb932168-x86-fra_d81278049e909f0d4cc6a0eddb4a092841a487b3.exe

c:\Documents and Settings\sleam\Bureau\maj windows\maj xp\windowsxp-kb931836-x86-fra_5b2e45576abfa4af16a49062a98fb157ffcd191c.exe

c:\Documents and Settings\sleam\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache\WindowsUpdateAgent20-x86.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

 

serait ce l'action d'un worm?

 

merci d'avance

[Gof]

Bonsoir sleam

 

Supprime le fichier que tu as restauré afin de le faire analyser. Vide ta corbeille.

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
  

J'aimerais que tu me précises pour ton disque dur externe. Tu ne peux plus du tout y accéder, ou tu peux y accéder, mais d'une manière différente à celle que tu utilisais habituellement ?

[sleam]

re-salut gof

 

en reponse a ta question oui j'ai acces a mon disque externe ms en fesant clic droit "ouvrir" ou "explorer"

l'acces est tjrs refusé en ouverture normale

 

j'ai donc suivi la procedure que tu m'avait indiqué

voila le rapport

 

SDFix: Version 1.89

 

Run by sleam on 04/07/2007 at 15:07

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Missing Security Center Service

Restoring Missing SharedAccess Service

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

Checking C:\WINDOWS

C:\WINDOWS

No streams found.

 

Checking C:\WINDOWS\system32

C:\WINDOWS\system32

No streams found.

 

Checking C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

Checking C:\WINDOWS\system32\ntoskrnl.exe

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

 

Finished

 

a+

[Gof]

Bonsoir Sleam,

 

fais la manipulation suivante je te prie. Je pense à un autorun.inf modifié suite à une infection, apparemment plus présente sur le pc.

• Branche ton lecteur externe (j'imagine sur prise usb ?). Et démarre le, laisse le actif.
  
• Télécharge Flash_Disinfector.
  
• Double-clique le fichier téléchargé.
  
• Clique sur Ok pour lancer l'analyse.
  
• Clique sur Ok en fin d'analyse.
  
• Redémarre et dis moi s'il y a du mieux pour accéder au disque dur externe.
  

A bientôt.

[sleam]

salut gof

 

ton idée etait apparement la bonne puisque ca refonctionne correctement depuis que j'ai executé flash desinfector.exe

 

je me demande quel etait la methode d'infection....un vers infiltré par un port ouvert? un port ouvert n'est pas rendu invisible par le pare feu?...soit...que de questions.

 

sinon pour toi mon pc est clean?...j'ose plus aller sur mon home bank...lol

 

en tout cas un grand merci a toi gof...ca fais plaiz

 

long lives to zebulon et tout ses zebuloniens

 

peace.

[Gof]

Bonsoir sleam

 

Bien, bonne nouvelle. Cette infection est relativement fréquente. Elle se propage par support USB (clés, disques, etc). Il suffit, lorsque tu es infecté d'insérer n'importe quel support usb pour l'infecter automatiquement, ce dernier infectant à son tour tout pc sur lequel il est branché. L'infection en soi n'est pas difficile à supprimer sur un pc isolé, mais cela devient vite pénible dans le cas de nombreux pc où les échanges de supports sont fréquents. Il suffit d'oublier d'en traiter un pour que l'infection revienne.

 

Je t'invite à présent à procéder à une analyse en ligne, car il y a souvent des exe associés à cette infection qui se collent à la racine des disques. Insère tes supports usb pour l'analyse, et laisse les branchés et allumés.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

A bientôt.