[Résolu] Infection worm_rbot.fev (Vundo)

[Lionel57]

Bonjour à tous,

 

Voici le rapport Hijack pour un pc compaq pressario (lancé après les étapes ci-dessous, en mode sans échec).

J'ai suivi le dossier "desinfecter windows", donc en mode sans échec :

- désactivé la restauration système

- supprimé les temporaires avec ATF Cleaner

- désactivé les programmes au démarrage (sauf anti-virus)

- passé Antivir (qui a trouvé quelques malwares et les a supprimé)

- passé spybot (qui a lui aussi trouvé des spywares)

- lancé hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:42:54, on 04/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {B6C43182-63AE-4F13-9980-714EB0A6CB3F} - C:\WINDOWS\System32\wvurqol.dll

O2 - BHO: (no name) - {FC009EC3-D844-4D02-973D-70AE13DC3CAC} - C:\WINDOWS\System32\ssttu.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O20 - Winlogon Notify: ssttu - C:\WINDOWS\System32\ssttu.dll

O20 - Winlogon Notify: wvurqol - C:\WINDOWS\SYSTEM32\wvurqol.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DomainService - - C:\WINDOWS\System32\kmvktwbu.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Windows Media Drivers - Unknown owner - C:\WINDOWS\MSDEV.EXE (file missing)

 

Merci pour votre aide

Lionel

Modifié le 9 juillet 2007 par Lionel57

[Thanos]

salut

 

Dommage que tu ais désactivé la restauration système, on ne le fais qu'en fin de désinfection.

Commence comme ceci >

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis en mode normal dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

Il va falloir penser à désinstaller Antivir si tu compte garder Internet Security 2007

[Lionel57]

VundoFix, je le lance sous le mode normal ou sans échec ?

[Thanos]

oui stp en mode normal! et lorsque c'est fini poste aussi le nouveau rapport hijackthis en mode normal.

[Lionel57]

Voilà les rapports (désolé pour le retard, j'avais un rendez-vous à 13H30...)

 

J'ai eu en permanence antivir qui me signalait lz fichier "wvurqol" et maintenant pc cillin remarche et me signale kmvktwbu.exe comme étant un virus et qu'il ne peut mettre en quarantaine ni supprimer.

 

 

VundoFix V6.5.4

 

Checking Java version...

 

Scan started at 14:06:34 05/07/2007

 

Listing files found while scanning....

 

C:\windows\system32\fyehypjp.dll

C:\windows\system32\gtbkunbw.dll

C:\windows\system32\kmvktwbu.exe

C:\windows\system32\pjpyheyf.ini

C:\WINDOWS\System32\ssttu.dll

C:\windows\system32\uttss.bak1

C:\windows\system32\uttss.bak2

C:\windows\system32\uttss.ini

C:\windows\system32\wbnukbtg.ini

 

Beginning removal...

 

Attempting to delete C:\windows\system32\fyehypjp.dll

C:\windows\system32\fyehypjp.dll Has been deleted!

 

Attempting to delete C:\windows\system32\gtbkunbw.dll

C:\windows\system32\gtbkunbw.dll Has been deleted!

 

Attempting to delete C:\windows\system32\kmvktwbu.exe

C:\windows\system32\kmvktwbu.exe Could not be deleted.

 

Attempting to delete C:\windows\system32\pjpyheyf.ini

C:\windows\system32\pjpyheyf.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\System32\ssttu.dll

C:\WINDOWS\System32\ssttu.dll Has been deleted!

 

Attempting to delete C:\windows\system32\uttss.bak1

C:\windows\system32\uttss.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\uttss.bak2

C:\windows\system32\uttss.bak2 Has been deleted!

 

Attempting to delete C:\windows\system32\uttss.ini

C:\windows\system32\uttss.ini Has been deleted!

 

Attempting to delete C:\windows\system32\wbnukbtg.ini

C:\windows\system32\wbnukbtg.ini Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.4

 

Checking Java version...

 

Scan started at 14:15:22 05/07/2007

 

Listing files found while scanning....

 

C:\windows\system32\wvurqol.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\wvurqol.dll

C:\windows\system32\wvurqol.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

VundoFix V6.5.4

 

Checking Java version...

 

Scan started at 14:30:21 05/07/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:37:05, on 05/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\kmvktwbu.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {1AFE053A-45F1-401B-B8A5-7104F74197E3} - C:\WINDOWS\System32\ssttu.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {B6C43182-63AE-4F13-9980-714EB0A6CB3F} - C:\WINDOWS\System32\wvurqol.dll (file missing)

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\kmvktwbu.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Windows Media Drivers - Unknown owner - C:\WINDOWS\MSDEV.EXE (file missing)

[Lionel57]

Chose surprenante, en attendant une réponse, j'ai l'ordinateur qui est resté sur HijackThis, pour fixer... et il s'est éteind et relancé tout seul, alors qu'il n'y a rien dans la gestion de l'économie (juste la mise en veille du moniteur !)

[Lionel57]

Que dois-je fixer ?

[Thanos]

re!

 

Ok on a éliminé Vundo! à prséent, fais ceci stp >

 

1) Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {1AFE053A-45F1-401B-B8A5-7104F74197E3} - C:\WINDOWS\System32\ssttu.dll (file missing)

 

O2 - BHO: (no name) - {B6C43182-63AE-4F13-9980-714EB0A6CB3F} - C:\WINDOWS\System32\wvurqol.dll (file missing)

 

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

 

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

-Ferme tous les programmes et clique sur "Fix Checked"

 

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

[Lionel57]

Voici le rapport :

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 05/07/2007 à 19:52:31,90

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\adidsl.cfg -->29/06/2007 01:48:50

C:\WINDOWS\System32/drivers\HP_DT276A-ABF S5295FR FR340_YC_Pres_QCZB348_E34FRwwREF2_4_IA7N8X-LA_SASUSTeK Computer INC._VRev 1.xx_B3.07_T031015_W1_L40C_M512_J80_7AMD_8Athlon XP 2500+_91,83_110DE006E_N10DE0066_P_Z14F12F00_K_A10DE006A_U10DE0067_G10025961.MRK -->28/06/2007 22:37:36

C:\WINDOWS\System32/drivers\tmxpflt.sys -->12/06/2007 19:00:54

C:\WINDOWS\System32/drivers\tmpreflt.sys -->12/06/2007 19:00:50

C:\WINDOWS\System32/drivers\VsapiNT.sys -->12/06/2007 18:52:00

C:\WINDOWS\System32/drivers\avipbb.sys -->20/03/2007 09:55:45

C:\WINDOWS\System32/drivers\ssmdrv.sys -->01/03/2007 10:34:36

 

C:\WINDOWS\System32\VundoFixSVC.exe -->05/07/2007 14:11:54

C:\WINDOWS\System32\wpa.dbl -->04/07/2007 11:30:09

C:\WINDOWS\System32\kmvktwbu.exe -->01/07/2007 09:57:02

C:\WINDOWS\System32\mcrh.tmp -->30/06/2007 10:36:01

C:\WINDOWS\System32\FNTCACHE.DAT -->30/06/2007 10:26:56

C:\WINDOWS\System32\tocnoton.exe -->30/06/2007 09:55:39

C:\WINDOWS\System32\PerfStringBackup.INI -->28/06/2007 22:43:37

C:\WINDOWS\System32\perfh00C.dat -->28/06/2007 22:43:37

C:\WINDOWS\System32\perfh009.dat -->28/06/2007 22:43:37

C:\WINDOWS\System32\perfc00C.dat -->28/06/2007 22:43:37

C:\WINDOWS\System32\perfc009.dat -->28/06/2007 22:43:37

C:\WINDOWS\System32\$winnt$.inf -->28/06/2007 22:36:09

C:\WINDOWS\System32\iAlmcoin.dll -->28/06/2007 22:17:51

C:\WINDOWS\System32\PccWSC32.cpl -->29/09/2006 08:00:42

C:\WINDOWS\System32\HPZc3212.dll -->13/04/2006 03:04:42

C:\WINDOWS\System32\hpowiax2.dll -->13/04/2006 03:02:35

C:\WINDOWS\System32\hpovst09.dll -->13/04/2006 03:02:34

C:\WINDOWS\System32\hpotiop2.dll -->13/04/2006 03:02:33

C:\WINDOWS\System32\hpz3l054.dll -->10/04/2006 14:03:02

C:\WINDOWS\System32\HPZidr12.dll -->03/03/2006 21:03:38

C:\WINDOWS\System32\HPZinw12.exe -->03/03/2006 21:03:22

C:\WINDOWS\System32\HPZipm12.exe -->03/03/2006 21:03:10

C:\WINDOWS\System32\HPZipr12.dll -->03/03/2006 21:02:58

C:\WINDOWS\System32\HPZipt12.dll -->03/03/2006 21:02:30

C:\WINDOWS\System32\HPZisn12.dll -->03/03/2006 21:02:04

 

C:\WINDOWS.log -->05/07/2007 14:27:00

C:\WINDOWS\wiaservc.log -->05/07/2007 14:26:47

C:\WINDOWS\wiadebug.log -->05/07/2007 14:26:47

C:\WINDOWS\bootstat.dat -->05/07/2007 14:26:36

C:\WINDOWS\setupapi.log -->05/07/2007 14:05:58

C:\WINDOWS\ntbtlog.txt -->05/07/2007 14:03:06

C:\WINDOWS\win.ini -->04/07/2007 17:29:26

C:\WINDOWS\system.ini -->04/07/2007 17:29:26

C:\WINDOWS\hpoins11.dat -->30/06/2007 10:49:32

C:\WINDOWS\Windows Update.log -->30/06/2007 10:48:09

C:\WINDOWS\hpoins11.dat.temp -->30/06/2007 10:36:26

C:\WINDOWS\SchedLgU.Txt -->30/06/2007 10:26:16

C:\WINDOWS\wmsetup.log -->30/06/2007 10:20:39

C:\WINDOWS\WMSysPr9.prx -->30/06/2007 10:20:20

C:\WINDOWS\tsoc.log -->30/06/2007 09:53:04

 

 

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\WINDOWS\system

 

08/05/1998 00:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 50 184 273 920 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\WINDOWS\system32

 

02/08/2003 22:40 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 50 184 273 920 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\WINDOWS\system32

 

03/05/2003 07:19 1 323 008 dmcpl.exe

1 fichier(s) 1 323 008 octets

0 Rép(s) 50 184 273 920 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

29/06/2007 01:39 <REP> .

29/06/2007 01:39 <REP> ..

02/01/2003 12:20 65 desktop.ini

15/10/1997 09:52 697 DirectAnimation Java Classes.osd

14/03/2007 04:02 1 055 jinstall-6u1.inf

21/01/2000 06:25 1 162 Microsoft XML Parser for Java.osd

26/05/2005 04:19 293 muweb.inf

27/03/2007 16:00 5 021 swflash.inf

26/05/2005 04:19 291 wuweb.inf

7 fichier(s) 8 584 octets

 

Total des fichiers listés :

7 fichier(s) 8 584 octets

2 Rép(s) 50 184 269 824 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-05 19:52:39

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

588 - csrss.exe

612 - winlogon.exe

656 - services.exe

668 - lsass.exe

864 - svchost.exe

880 - avgnt.exe

972 - svchost.exe

1340 - svchost.exe

1496 - avguard.exe

1660 - explorer.exe

1764 - alg.exe

1792 - kmvktwbu.exe

1840 - mdm.exe

2232 - cmd.exe

 

Total number of processes = 14

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D4000 - \WINDOWS\system32\ntoskrnl.exe

806C8000 - \WINDOWS\system32\hal.dll

F899F000 - \WINDOWS\system32\KDCOM.DLL

F88AF000 - \WINDOWS\system32\BOOTVID.dll

F8452000 - ACPI.sys

F89A1000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F849F000 - pci.sys

F84AF000 - isapnp.sys

F84BF000 - ohci1394.sys

F84CF000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

F8A67000 - pciide.sys

F871F000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F84DF000 - MountMgr.sys

F8433000 - ftdisk.sys

F8727000 - PartMgr.sys

F84EF000 - VolSnap.sys

F841D000 - atapi.sys

F84FF000 - disk.sys

F850F000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F851F000 - PxHelp20.sys

F852F000 - avgntmgr.sys

F8409000 - KSecDD.sys

F837F000 - Ntfs.sys

F8356000 - NDIS.sys

F872F000 - nv_agp.sys

F853F000 - SISAGPX.sys

F8737000 - viaagp1.sys

F833C000 - Mup.sys

F873F000 - agp440.sys

F85AF000 - \SystemRoot\System32\DRIVERS\nic1394.sys

F85FF000 - \SystemRoot\System32\DRIVERS\processr.sys

F879F000 - \SystemRoot\System32\DRIVERS\fdc.sys

F7C30000 - \SystemRoot\System32\DRIVERS\parport.sys

F860F000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F87A7000 - \SystemRoot\System32\DRIVERS\PS2.sys

F87AF000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F87B7000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F861F000 - \SystemRoot\System32\DRIVERS\serial.sys

F894F000 - \SystemRoot\System32\DRIVERS\serenum.sys

F8953000 - \SystemRoot\System32\DRIVERS\usbohci.sys

F7C0E000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F87BF000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F862F000 - \SystemRoot\System32\DRIVERS\NVENET.sys

F7B33000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F7B12000 - \SystemRoot\system32\drivers\portcls.sys

F863F000 - \SystemRoot\system32\drivers\drmk.sys

F7AF2000 - \SystemRoot\system32\drivers\ks.sys

F7AC2000 - \SystemRoot\System32\DRIVERS\HSFHWBS2.sys

F79BE000 - \SystemRoot\System32\DRIVERS\HSF_DP.sys

F7923000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys

F87C7000 - \SystemRoot\System32\Drivers\Modem.SYS

F864F000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F865F000 - \SystemRoot\System32\DRIVERS\redbook.sys

F866F000 - \SystemRoot\System32\DRIVERS\imapi.sys

F77E7000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys

F77D5000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F8ADC000 - \SystemRoot\System32\DRIVERS\audstub.sys

F867F000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F895F000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F77BF000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F868F000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F869F000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F8963000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F77AE000 - \SystemRoot\System32\DRIVERS\psched.sys

F86AF000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F87CF000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F87D7000 - \SystemRoot\System32\DRIVERS\raspti.sys

F86BF000 - \SystemRoot\System32\DRIVERS\termdd.sys

F8B89000 - \SystemRoot\System32\DRIVERS\swenum.sys

F778C000 - \SystemRoot\System32\DRIVERS\update.sys

F75CD000 - \SystemRoot\System32\DRIVERS\TM_CFW.sys

F86CF000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F86DF000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F89B7000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F87DF000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F858F000 - \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys

F89B9000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F8B99000 - \SystemRoot\System32\Drivers\Null.SYS

F89BB000 - \SystemRoot\System32\Drivers\Beep.SYS

F87EF000 - \SystemRoot\System32\drivers\vga.sys

F89BD000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F89BF000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F87F7000 - \SystemRoot\System32\Drivers\Msfs.SYS

F87FF000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7C67000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F859F000 - \SystemRoot\System32\DRIVERS\ipsec.sys

B6F25000 - \SystemRoot\System32\DRIVERS\tcpip.sys

B6EFE000 - \SystemRoot\System32\DRIVERS\netbt.sys

F85BF000 - \SystemRoot\System32\DRIVERS\netbios.sys

B6EED000 - \SystemRoot\System32\DRIVERS\tmtdi.sys

F8807000 - \SystemRoot\System32\DRIVERS\ssmdrv.sys

F7C53000 - \SystemRoot\System32\DRIVERS\srvkp.sys

B6EC5000 - \SystemRoot\System32\DRIVERS\rdbss.sys

B6E39000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F85DF000 - \SystemRoot\System32\Drivers\Fips.SYS

F85EF000 - \SystemRoot\System32\DRIVERS\avipbb.sys

B6E15000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F7913000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B6DFF000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F89C1000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F75C5000 - \SystemRoot\System32\watchdog.sys

F75C1000 - \SystemRoot\System32\drivers\Dxapi.sys

BFF80000 - \SystemRoot\System32\drivers\dxg.sys

F8BD5000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9BB000 - \SystemRoot\System32\ati2dvag.dll

BFA19000 - \SystemRoot\System32\ati3d2ag.dll

F7535000 - \SystemRoot\System32\drivers\Tmpreflt.sys

B6B0D000 - \SystemRoot\System32\drivers\VsapiNT.sys

B6AA3000 - \SystemRoot\System32\drivers\TmXPFlt.sys

B6A5A000 - \SystemRoot\System32\drivers\afd.sys

B6C47000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F7903000 - \SystemRoot\System32\DRIVERS\wanarp.sys

B6CFF000 - \SystemRoot\System32\DRIVERS\arp1394.sys

B6917000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F89F3000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B66BE000 - \SystemRoot\System32\DRIVERS\srv.sys

B6837000 - \SystemRoot\System32\DRIVERS\mdmxsdk.sys

B65DE000 - \??\C:\WINDOWS\System32\drivers\tmcomm.sys

B6599000 - \SystemRoot\System32\DRIVERS\tm_mbd_c.sys

B6445000 - \SystemRoot\System32\DRIVERS\ipnat.sys

B6345000 - \SystemRoot\system32\drivers\sysaudio.sys

F8B71000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 123

 

Liste des programmes installes

 

Adobe Acrobat 5.0

Adobe Flash Player 9 ActiveX

AiO_Scan_CDA

AiOSoftwareNPI

ATI Control Panel

ATI Display Driver

Avira AntiVir PersonalEdition Classic

BufferChm

C4100

c4100_Help

Connexion Facile à Internet

Connexion Facile à Internet

Correctif Windows XP - KB822603

Correctif Windows XP - KB824146

Correctif Windows XP (SP2) Q327979

Correctif Windows XP (SP2) Q329112

Correctif Windows XP (SP2) q329623

Correctif Windows XP (SP2) Q329909

Correctif Windows XP (SP2) Q811789

CP_CalendarTemplates1

cp_OnlineProjectsConfig

CP_Package_Basic1

CP_Panorama1Config

cp_PosterPrintConfig

CueTour

CustomerResearchQFolder

Destinations

DeviceManagementQFolder

DocProc

DocProcQFolder

DocumentViewer

DocumentViewerQFolder

eSupportQFolder

Fax_CDA

FullDPAppQFolder

HijackThis 1.99.1

Hijackthis Version Française 1.99.0.1

HP Customer Participation Program 7.0

HP Document Viewer 7.0

HP Imaging Device Functions 7.0

HP Photosmart Premier Software 6.5

HP Photosmart, Officejet and Deskjet 7.0.A

HP Software Update

HP Solution Center 7.0

HPPhotoSmartExpress

HPProductAssistant

HpSdpAppCoreApp

InstantShareDevices

InstantShareDevicesMFC

Intel® Extreme Graphics Driver

InterVideo WinDVD Player

Java 2 Runtime Environment, SE v1.4.1_02

Java Web Start

KBD

L'Internet ADSL de Cegetel

LiveReg (Symantec Corporation)

LiveUpdate 1.80 (Symantec Corporation)

MarketResearch

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft Word 2002

Microsoft Works 7.0

NewCopy_CDA

NVIDIA Ethernet Driver

NVIDIA Gart Driver

NVIDIA Windows 2000/XP Display Drivers

OCR Software by I.R.I.S 7.0

Package du correctif Windows XP [voir q329256 pour plus de détails]

Package du correctif Windows XP [voir Q331958 pour plus de détails]

PanoStandAlone

PhotoGallery

ProductContextNPI

PS2

Python 2.2 combined Win32 extensions

Python 2.2.1

RandMap

Readme

RecordNow!

S3 S3Display

S3 S3Gamma2

S3 S3Info2

S3 S3Overlay

SAGEM F@st 800-840

Scan

ScannerCopy

SkinsHP1

SlideShow

SolutionCenter

Sonic Update Manager

Sonic_PrimoSDK

Spybot - Search & Destroy 1.4

Status

Toolbox

TrayApp

Trend Micro PC-cillin Internet Security 2007

Trend Micro PC-cillin Internet Security 2007

Unload

WebFldrs XP

WebReg

 

 

 

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\Program Files

 

04/07/2007 22:42 <REP> .

04/07/2007 22:42 <REP> ..

02/01/2003 13:30 <REP> Adobe

04/07/2007 17:36 <REP> AntiVir PersonalEdition Classic

07/05/2007 16:36 <REP> ATI Technologies

09/05/2007 21:57 <REP> Cegetel

02/01/2003 12:19 <REP> ComPlus Applications

28/06/2007 22:42 <REP> Easy Internet signup

30/06/2007 10:18 <REP> Fichiers communs

09/05/2007 21:23 <REP> Hewlett-Packard

05/07/2007 14:36 <REP> Hijackthis Version Française

30/06/2007 10:06 <REP> HP

28/06/2007 23:26 <REP> Internet Explorer

28/06/2007 22:17 <REP> InterVideo

02/01/2003 13:42 <REP> Java

02/01/2003 13:42 <REP> Java Web Start

28/06/2007 23:26 <REP> Messenger

17/05/2007 12:36 <REP> Microsoft CAPICOM 2.1.0.2

02/01/2003 12:23 <REP> microsoft frontpage

01/01/2003 12:33 <REP> Microsoft Office

01/01/2003 12:33 <REP> Microsoft Visual Studio

01/01/2003 12:38 <REP> Microsoft Works

07/05/2007 16:51 <REP> Microsoft.NET

28/06/2007 23:26 <REP> Movie Maker

07/05/2007 17:29 <REP> MSBuild

02/01/2003 12:18 <REP> MSN

02/01/2003 12:18 <REP> MSN Gaming Zone

09/05/2007 13:13 <REP> MSN Messenger

17/05/2007 12:36 <REP> MSXML 4.0

07/05/2007 18:19 <REP> MSXML 6.0

28/06/2007 23:26 <REP> NetMeeting

28/06/2007 23:26 <REP> Outlook Express

02/01/2003 13:24 <REP> RecordNow!

07/05/2007 17:26 <REP> Reference Assemblies

09/05/2007 21:57 <REP> SAGEM

02/01/2003 13:45 <REP> Services en ligne

04/07/2007 21:20 <REP> Spybot - Search & Destroy

09/05/2007 11:53 <REP> SuperCopier2

30/06/2007 09:01 <REP> Symantec

07/05/2007 17:15 <REP> Trend Micro

02/01/2003 12:27 <REP> Uninstall Information

28/06/2007 22:53 <REP> Wanadoo

07/05/2007 17:24 <REP> Windows Media Connect 2

30/06/2007 10:19 <REP> Windows Media Player

28/06/2007 23:26 <REP> Windows NT

09/05/2007 12:08 <REP> WinZip

02/01/2003 12:23 <REP> xerox

0 fichier(s) 0 octets

47 Rép(s) 50 184 962 048 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\Program Files\fichiers communs

 

30/06/2007 10:18 <REP> .

30/06/2007 10:18 <REP> ..

02/01/2003 13:30 <REP> Adobe

01/01/2003 12:33 <REP> DESIGNER

30/06/2007 10:01 <REP> Hewlett-Packard

30/06/2007 10:15 <REP> HP

02/01/2003 13:35 <REP> InstallShield

09/05/2007 12:45 <REP> Java

01/01/2003 12:39 <REP> Microsoft Shared

02/01/2003 12:20 <REP> MSSoap

02/01/2003 12:14 <REP> ODBC

28/06/2007 23:26 <REP> Services

02/01/2003 13:25 <REP> Sonic

30/06/2007 10:18 <REP> Sonic Shared

02/01/2003 12:14 <REP> SpeechEngines

30/06/2007 09:02 <REP> Symantec Shared

28/06/2007 23:26 <REP> System

0 fichier(s) 0 octets

17 Rép(s) 50 184 962 048 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

01/01/2003 12:34 <REP> .

01/01/2003 12:34 <REP> ..

01/01/2003 12:33 <REP> 1033

01/01/2003 12:34 <REP> 1036

15/02/2001 13:45 1 318 912 MSONSEXT.DLL

13/02/2001 16:23 58 784 MSOSV.DLL

04/06/1999 05:09 122 937 MSOWS409.DLL

08/03/2001 00:00 127 033 MSOWS40c.DLL

06/08/2000 17:04 401 462 MSVCP60.DLL

22/01/2001 11:25 69 632 PKMAXCTL.DLL

22/01/2001 11:25 872 448 PKMCDO.DLL

22/01/2001 11:25 159 744 PKMCORE.DLL

07/02/2001 17:59 106 496 PKMFORMS.DLL

12/02/2001 12:03 684 032 PKMRES.DLL

22/01/2001 11:25 28 672 PKMSSTLB.DLL

22/01/2001 11:25 40 960 PKMTEMPL.DLL

22/01/2001 11:25 24 576 PKMTRACE.DLL

22/01/2001 11:25 86 016 PKMWS.DLL

22/01/2001 11:25 237 568 PROMDEMO.DLL

22/01/2001 11:25 184 320 SECMGR.DLL

22/01/2001 11:25 323 584 VAIDDMGR.DLL

22/01/2001 11:25 32 768 VAIMEM.DLL

18 fichier(s) 4 879 944 octets

4 Rép(s) 50 184 962 048 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est 9002-0C5B

 

Répertoire de C:\

 

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 50 184 962 048 octets libres

c:\Documents and Settings\Administrateur\Mes documents\RegCleaner.exe

c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\patch.exe

c:\Documents and Settings\Default User\Mes documents\RegCleaner.exe

c:\Documents and Settings\Default User\Mes documents\AC CONSEIL\Install_MSN_Messenger.EXE

c:\Documents and Settings\Default User\Mes documents\AC CONSEIL\Second Life\Second Life 1-13-3-2 Setup.exe

c:\Documents and Settings\Default User\Mes documents\Famille\fs2005f-sp1-02.exe

c:\Documents and Settings\Default User\Mes documents\Famille\GoogleEarthSetup.exe

c:\Documents and Settings\Propriétaire\Bureau\VundoFix.exe

c:\Documents and Settings\Propriétaire\Bureau\autorun\autoruns.exe

c:\Documents and Settings\Propriétaire\Bureau\autorun\autorunsc.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\basic\preupd.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\basic\sched.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\basic\setup.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\basic\update.exe

c:\Documents and Settings\Propriétaire\Local Settings\Temp\RarSFX0\basic\wsctool.exe

c:\Documents and Settings\Propriétaire\Mes documents\RegCleaner.exe

c:\Documents and Settings\Propriétaire\Mes documents\AC CONSEIL\Install_MSN_Messenger.EXE

c:\Documents and Settings\Propriétaire\Mes documents\AC CONSEIL\Second Life\Second Life 1-13-3-2 Setup.exe

c:\Documents and Settings\Propriétaire\Mes documents\Famille\fs2005f-sp1-02.exe

c:\Documents and Settings\Propriétaire\Mes documents\Famille\GoogleEarthSetup.exe

c:\SAV\Documents and Settings\Administrateur\Bureau\stinger.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700_fra_win2k_xp.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\wmp11-windowsxp-x86-FR-FR.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\autorun.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\hpbvspst.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\hpzglu10.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\instmsia.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\instmsiw.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\setup.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\instmsia.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\instmsiw.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\setup.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\HP Software Update\HPWUCli.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\HP Software Update\SelfUpdate.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\SystemCheck\HPZchk01.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\SystemCheck\usbready.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\program files\HP\Digital Imaging\bin\hpqpprop.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Temp\cfgtoip.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Temp\cfgtoipx.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Temp\hpjsira.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\util\rmvprntr.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\util\common\hpfpdi10.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\util\common\hpzghl10.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\util\common\hpzpin10.exe

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\util\support\Scrubber.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\tmaseng.dll

c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\PATCHW32.DLL

c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\TmUpdate.dll

c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\oe_engine1\tmaseng.dll

c:\Documents and Settings\Default User\Application Data\TaoUSign\jseccapi.dll

c:\Documents and Settings\Propriétaire\Application Data\TaoUSign\jseccapi.dll

c:\SAV\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll

c:\SAV\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\6.0.2.614\adialhk.dll

c:\SAV\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\SAV\Documents and Settings\Propriétaire\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\SAV\Documents and Settings\Propriétaire\Application Data\TaoUSign\jseccapi.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\capicom.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\HPBasicDetection.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\HPCommunication.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\HPeDiag.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\HPeSupport.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\HPScripting.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\InternetUtil.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\eSupportDiags\RulesEngine.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\program files\Hewlett-Packard\HP Software Update\SoftwareUpdate.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\System32\msxml3.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\System32\msxml3a.dll

c:\SAV\Documents and Settings\Propriétaire\Bureau\5700\Applications\HPSU\System32\msxml3r.dll

 

****** Fin du rapport DiagHelp

[Lionel57]

Au cas où, le dernier rapport HijackThis que je viens de faire :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:55:30, on 05/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\kmvktwbu.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {B6C43182-63AE-4F13-9980-714EB0A6CB3F} - C:\WINDOWS\System32\wvurqol.dll (file missing)

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DomainService - - C:\WINDOWS\System32\kmvktwbu.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

O23 - Service: Windows Media Drivers - Unknown owner - C:\WINDOWS\MSDEV.EXE (file missing)