Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojan Adware.W32.ExpDwnldr tenace

ece

Par ece
dans Analyses et éradication malwares

 Partager

Messages recommandés

ece Member

ece

Posté(e)
Posté(e)

Bonjour a toi charles !

 

je vois que tu es toujours fidele a cette section du forum.

 

tu mavais auparavant aider (avec succès :P ) pour un virus que javais chopé sur mon portable et qui avais dailleurs avais été tenace. :P je te remercie encore pour ton aide. :P

 

je reviens a présent précisément sur ce topic car jai chopé un nouveau virus semblable a celui dont parle kingleroideskong.

 

en effet, ce virus se manifeste par un écran bizarre sur mon bureau (il sagit dun gif qui mene sur un lien vers un antivirus payant). Mon internet explorer est aussi affecté car la page par défaut mene systhématiquement sur un site de ce style (jai beau remettre mon lien par défaut qui est google, il fini par remettre ce lien automatiquement).

 

jai un point dexclamation rouge qui clignote en bas a droite dans mes icones et jai régulierement des messages dalertes qui menent souvent a IE et vers des sites toujours pour des antivirus payants. :P

 

jai pu voir un message dalerte qui me signalais la présence du trojan Adware.W32.ExpDwnldr dont parle kingleroideskong :

 

http://img108.imageshack.us/img108/4937/sanstitre1cd1.jpg

 

Voici létat de mon bureau avec ce virus ...

 

http://img108.imageshack.us/img108/6517/sanstitreak2.jpg

(tu peux voir le point dexclamation en bas a droite et un des messages d'alerte que je recoi périodiquement ...)

 

je tenvoi en conséquence ce que tu as demandé a mon confrere en galere (^^) du fait que les pasages répétés de Adaware, spybot, ccleaner, antivir, AVG, easycleaner na rien donné ... :P

 

le rapport hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:51:17, on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dlcfcoms.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O1 - Hosts: 127.255.255.255 www.alcohol-soft.com

O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MSVPS System - {4118A625-1B64-4ED1-A2E9-76DEC529D2D2} - C:\WINDOWS\qnxplugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {B8DFCCE2-BDDC-AC5C-A0FC-873815DF3E9C} - (no file)

O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFna...acComposant.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: msddx - {E13FD88E-9D00-46B5-BF9A-0E4C989735C0} - C:\WINDOWS\msddx.dll

O21 - SSODL: msqnx - {C510D1AF-ADDC-40A4-8320-C89408054A1E} - C:\WINDOWS\msqnx.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

le rapport SmitfraudFix :

 

SmitFraudFix v2.202

 

Rapport fait à 20:32:04,84, 10/07/2007

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dlcfcoms.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Grisoft\AVG7\avgwb.dat

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\main_uninstaller.exe PRESENT !

C:\WINDOWS\msddx.dll PRESENT !

C:\WINDOWS\msqnx.dll PRESENT !

C:\WINDOWS\privacy_danger PRESENT !

C:\WINDOWS\qnxplugin.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\NewMediaCodec\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"

"SubscribedURL"=""

"FriendlyName"="Privacy Protection"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.53.252

DNS Server Search Order: 212.27.54.252

 

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{15B9A1AC-C504-47A4-A66C-9174EA9B4683}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

je te remercie d'avance pour laide que tu mapportera a nouveau.

 

amicalement

 

ece :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

bonjour ece :P

 

Tu as utilisé le bon logiciel :P Voilà la suite >

 

Double clique sur SmitfraudFix.exe

  • Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  • A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et presse Entrée pour remplacer le fichier corrompu.
  • Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste stp avec le rapport de SmitFraudFix, le rapport suivant >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Donc: le rapport SmitFraudFix + le rapport DaigHelp et le rapport hijackthis :P

ece Member

ece

Posté(e)
  • Auteur
Posté(e)

salut

 

merci pour ta réponse !

 

je te présente le rapport de SmitfraudFix.exe :

 

Rq : Jai passé le logiciel une seconde fois donc le rapport que tu va voir est le 2nd passage (j'y peux rien qil a écrasé le 1er lol).

 

SmitFraudFix v2.202

 

Rapport fait à 18:53:27,78, 11/07/2007

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

127.255.255.255 serial.alcohol-soft.com

127.255.255.255 www.alcohol-soft.com

127.255.255.255 images.alcohol-soft.com

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{15B9A1AC-C504-47A4-A66C-9174EA9B4683}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{3407F251-9D4D-4317-8C1E-F75BA23233CF}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{545E12E4-4606-4193-97BD-A2C73C5A0211}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{99F30DE6-3323-486B-A33C-EC01C5A784D9}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{CD0133A3-613B-4A98-9655-7BACE2969079}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Je te fais remarquer que je nais plus de traces du virus quand je suis revenu sur mon bureau apres l'utilisation de ce logiciel. Jai pu voir dans le 1er rapport.txt qui avais été créé que plusieurs fichiers issus du virus que javais repéré avaient été supprimés ... :P

 

voici le 2nd rapport demandé DaigHelp :

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 11/07/2007 à 19:05:46,81

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\CDAC11BA.EXE -->25/06/2007 19:20:26

C:\WINDOWS\System32/drivers\secdrv.sys -->13/05/2007 18:27:45

C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:14:23

C:\WINDOWS\System32/drivers\avipbb.sys -->20/03/2007 09:55:45

C:\WINDOWS\System32/drivers\ssmdrv.sys -->01/03/2007 10:34:36

C:\WINDOWS\System32/drivers\avgntdd.sys -->27/02/2007 15:18:30

C:\WINDOWS\System32/drivers\ntfs.sys -->09/02/2007 13:10:35

 

C:\WINDOWS\System32\wpa.dbl -->11/07/2007 18:56:37

C:\WINDOWS\System32\vsconfig.xml -->11/07/2007 18:56:26

C:\WINDOWS\System32\OODBS.lor -->11/07/2007 18:55:51

C:\WINDOWS\System32\tmp.txt -->11/07/2007 18:53:33

C:\WINDOWS\System32\tmp.reg -->11/07/2007 18:53:33

C:\WINDOWS\System32\CONFIG.NT -->10/07/2007 22:08:13

C:\WINDOWS\System32\d3d9caps.dat -->10/07/2007 19:06:35

C:\WINDOWS\System32\Uninstall.ico -->09/07/2007 23:33:31

C:\WINDOWS\System32\pavas.ico -->09/07/2007 23:33:31

C:\WINDOWS\System32\Help.ico -->09/07/2007 23:33:31

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->06/07/2007 00:04:47

C:\WINDOWS\System32\MRT.exe -->28/06/2007 09:57:27

C:\WINDOWS\System32\BASSMOD.dll -->15/06/2007 20:54:02

C:\WINDOWS\System32\CmdLineExt.dll -->08/06/2007 19:04:06

C:\WINDOWS\System32\CmdLineExt03.dll -->02/06/2007 15:38:18

C:\WINDOWS\System32\inetcomm.dll -->16/05/2007 17:13:53

C:\WINDOWS\System32\mshtml.dll -->08/05/2007 10:59:01

C:\WINDOWS\System32\schannel.dll -->25/04/2007 16:22:35

C:\WINDOWS\System32\wininet.dll -->25/04/2007 09:40:25

C:\WINDOWS\System32\webcheck.dll -->25/04/2007 09:40:21

C:\WINDOWS\System32\urlmon.dll -->25/04/2007 09:40:18

C:\WINDOWS\System32\url.dll -->25/04/2007 09:40:13

C:\WINDOWS\System32\occache.dll -->25/04/2007 09:40:13

C:\WINDOWS\System32\mstime.dll -->25/04/2007 09:40:12

C:\WINDOWS\System32\msrating.dll -->25/04/2007 09:40:07

 

C:\WINDOWS.log -->11/07/2007 18:56:24

C:\WINDOWS\WindowsUpdate.log -->11/07/2007 18:56:21

C:\WINDOWS\wiadebug.log -->11/07/2007 18:56:21

C:\WINDOWS\wiaservc.log -->11/07/2007 18:56:20

C:\WINDOWS\bootstat.dat -->11/07/2007 18:55:56

C:\WINDOWS\setupact.log -->11/07/2007 18:54:34

C:\WINDOWS\ntbtlog.txt -->11/07/2007 18:49:44

C:\WINDOWS\SchedLgU.Txt -->11/07/2007 18:47:00

C:\WINDOWS\tsoc.log -->11/07/2007 18:45:52

C:\WINDOWS\setupapi.log -->11/07/2007 18:45:52

C:\WINDOWS\ocmsn.log -->11/07/2007 18:45:52

C:\WINDOWS\ocgen.log -->11/07/2007 18:45:52

C:\WINDOWS\ntdtcsetup.log -->11/07/2007 18:45:52

C:\WINDOWS\msgsocm.log -->11/07/2007 18:45:52

C:\WINDOWS\KB936357.log -->11/07/2007 18:45:52

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 17:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 56 773 611 520 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\WINDOWS\system32

 

20/08/2004 01:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 56 773 611 520 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\WINDOWS\system32

 

19/08/2003 03:56 1 323 008 dmcpl.exe

1 fichier(s) 1 323 008 octets

0 Rép(s) 56 773 611 520 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

10/07/2007 22:26 <REP> .

10/07/2007 22:26 <REP> ..

28/12/2005 02:00 2 390 catalog.dat

01/01/2003 17:38 65 desktop.ini

15/10/1997 02:52 697 DirectAnimation Java Classes.osd

25/07/2002 19:13 24 576 dwusplay.dll

25/07/2002 19:13 196 608 dwusplay.exe

28/12/2005 02:00 6 899 ecbootil.vxd

28/12/2005 02:00 288 376 ecmsvr32.dll

16/06/2004 07:02 323 584 isusweb.dll

10/11/2005 15:05 876 jinstall-1_5_0_06.inf

20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd

28/12/2005 02:00 124 584 naveng32.dll

28/12/2005 02:00 788 136 navex32a.dll

28/12/2005 02:00 97 072 scrauth.dat

28/12/2005 02:00 14 symaveng.cat

28/12/2005 02:00 901 symaveng.inf

28/12/2005 02:00 40 683 tcdefs.dat

28/12/2005 02:00 843 234 tcscan7.dat

28/12/2005 02:00 237 243 tcscan8.dat

28/12/2005 02:00 474 307 tcscan9.dat

28/12/2005 02:00 453 tinf.dat

28/12/2005 02:00 148 tinfidx.dat

28/12/2005 02:00 1 957 tinfl.dat

28/12/2005 02:00 44 907 tscan1.dat

28/12/2005 02:00 1 237 tscan1hd.dat

28/12/2005 02:00 5 516 v.grd

28/12/2005 02:00 2 242 v.sig

28/12/2005 02:00 106 244 virscan.inf

28/12/2005 02:00 940 578 virscan1.dat

28/12/2005 02:00 560 914 virscan2.dat

28/12/2005 02:00 145 280 virscan3.dat

28/12/2005 02:00 320 086 virscan4.dat

28/12/2005 02:00 1 882 234 virscan5.dat

28/12/2005 02:00 386 837 virscan6.dat

28/12/2005 02:00 2 876 918 virscan7.dat

28/12/2005 02:00 1 461 289 virscan8.dat

28/12/2005 02:00 2 966 229 virscan9.dat

28/12/2005 02:00 32 virscant.dat

29/12/2005 02:27 2 072 vscanmsx.dat

28/12/2005 02:00 224 zdone.dat

39 fichier(s) 15 156 804 octets

 

Total des fichiers listés :

39 fichier(s) 15 156 804 octets

2 Rép(s) 56 773 607 424 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

C:\Program Files\Multi_Media_France présent! Possible infection : lop.com

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\jeux\\Zoo Tycoon 2\\zt.exe"="C:\\jeux\\Zoo Tycoon 2\\zt.exe:*:Enabled:Zoo Tycoon 2 Executable"

"C:\\internet\\jeux\\JVTorrent\\btdownloadgui.exe"="C:\\internet\\jeux\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"

"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"="C:\\Program Files\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"

"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\Agnitum\\Outpost Firewall\\outpost.exe"="C:\\Program Files\\Agnitum\\Outpost Firewall\\outpost.exe:*:Enabled:Outpost Firewall main module"

"C:\\jeux\\Trackmania Sunrise\\TmSunrise\\TmSunrise.exe"="C:\\jeux\\Trackmania Sunrise\\TmSunrise\\TmSunrise.exe:*:Enabled:TmSunrise"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-11 19:06:00

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

DLCFCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

scanning hidden files ...

 

 

scan completed successfully

hidden services: 0

hidden files: 1

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

204 - dlcfcoms.exe

288 - MDM.EXE

580 - csrss.exe

608 - winlogon.exe

652 - services.exe

664 - lsass.exe

788 - svchost.exe

844 - svchost.exe

904 - svchost.exe

972 - svchost.exe

1124 - vsmon.exe

1172 - ati2evxx.exe

1484 - explorer.exe

1776 - avguard.exe

2028 - sched.exe

2132 - ctfmon.exe

2188 - avgnt.exe

2308 - NMBgMonitor.exe

3044 - iexplore.exe

3948 - cmd.exe

 

Total number of processes = 21

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806FD000 - \WINDOWS\system32\hal.dll

F7987000 - \WINDOWS\system32\KDCOM.DLL

F7897000 - \WINDOWS\system32\BOOTVID.dll

F74FC000 - sptd.sys

F7989000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F74E4000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F74BC000 - a347bus.sys

F748D000 - ACPI.sys

F747C000 - pci.sys

F75F7000 - isapnp.sys

F7A4F000 - pciide.sys

F7707000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F7607000 - MountMgr.sys

F7858000 - ftdisk.sys

F770F000 - PartMgr.sys

F7617000 - sfsync02.sys

F7627000 - VolSnap.sys

F7840000 -

F798B000 - a347scsi.sys

F7637000 - disk.sys

F7647000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F7967000 - fltmgr.sys

F782E000 - sr.sys

F7717000 - PxHelp20.sys

F7950000 - KSecDD.sys

F7B52000 - Ntfs.sys

F7A22000 - NDIS.sys

F771F000 - viaagp1.sys

F7A0E000 - srescan.sys

F7A50000 - speedfan.sys

F7657000 - SISAGPX.sys

BAFED000 - sfvfs02.sys

F7727000 - sfhlp02.sys

BAFDB000 - sfdrv01.sys

F7667000 - ohci1394.sys

F7677000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

F772F000 - nv_agp.sys

BAF20000 - Mup.sys

F7A51000 - giveio.sys

F7687000 - agp440.sys

BA815000 - \SystemRoot\System32\DRIVERS\intelppm.sys

BA3E1000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys

BA3CD000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

BA5B1000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

BA3AA000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

BA5A9000 - \SystemRoot\System32\DRIVERS\usbehci.sys

BA37A000 - \SystemRoot\System32\DRIVERS\HSFHWBS2.sys

BA357000 - \SystemRoot\System32\DRIVERS\ks.sys

BA253000 - \SystemRoot\System32\DRIVERS\HSF_DP.sys

BA1B8000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys

BA5A1000 - \SystemRoot\System32\Drivers\Modem.SYS

BA805000 - \SystemRoot\System32\DRIVERS\R8139n51.SYS

BA1A7000 - \SystemRoot\System32\DRIVERS\serial.sys

BAE6E000 - \SystemRoot\System32\DRIVERS\serenum.sys

BA599000 - \SystemRoot\System32\DRIVERS\fdc.sys

BA193000 - \SystemRoot\System32\DRIVERS\parport.sys

BA7F5000 - \SystemRoot\System32\DRIVERS\imapi.sys

BAE6A000 - \SystemRoot\system32\drivers\pfc.sys

BA7E5000 - \SystemRoot\System32\Drivers\AFS2K.SYS

BA7D5000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F76C7000 - \SystemRoot\System32\DRIVERS\redbook.sys

BA0D7000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

BA0B3000 - \SystemRoot\system32\drivers\portcls.sys

F76D7000 - \SystemRoot\system32\drivers\drmk.sys

BAA3F000 - \SystemRoot\System32\DRIVERS\audstub.sys

F76E7000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

BAE62000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

BA09C000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F76F7000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F746C000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F7767000 - \SystemRoot\System32\DRIVERS\TDI.SYS

BA08B000 - \SystemRoot\System32\DRIVERS\psched.sys

F745C000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F776F000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F7777000 - \SystemRoot\System32\DRIVERS\raspti.sys

F744C000 - \SystemRoot\System32\DRIVERS\termdd.sys

F777F000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F7787000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F79BB000 - \SystemRoot\System32\DRIVERS\swenum.sys

B9F4D000 - \SystemRoot\System32\DRIVERS\update.sys

BAE56000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F742C000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7877000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F79C9000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F779F000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F79CD000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

BA633000 - \SystemRoot\System32\Drivers\Null.SYS

F79CF000 - \SystemRoot\System32\Drivers\Beep.SYS

F77AF000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

F77B7000 - \SystemRoot\System32\drivers\vga.sys

F79D3000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F79D5000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F77BF000 - \SystemRoot\System32\Drivers\Msfs.SYS

F77C7000 - \SystemRoot\System32\Drivers\Npfs.SYS

BAEC4000 - \SystemRoot\System32\DRIVERS\rasacd.sys

A9CEF000 - \SystemRoot\System32\DRIVERS\ipsec.sys

A9C97000 - \SystemRoot\System32\DRIVERS\tcpip.sys

A9C47000 - \SystemRoot\System32\DRIVERS\netbt.sys

A9C24000 - \SystemRoot\System32\Drivers\Fastfat.SYS

A9B75000 - \SystemRoot\System32\vsdatant.sys

BAF8B000 - \SystemRoot\System32\DRIVERS\wanarp.sys

A9B53000 - \SystemRoot\System32\drivers\afd.sys

BAF7B000 - \SystemRoot\System32\DRIVERS\netbios.sys

BAEAC000 - \SystemRoot\System32\DRIVERS\srvkp.sys

A9B28000 - \SystemRoot\System32\DRIVERS\rdbss.sys

A9AB9000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

BAF4B000 - \SystemRoot\System32\Drivers\Fips.SYS

F76B7000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F79DB000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys

A99BA000 - \SystemRoot\system32\DRIVERS\P0630Vid.sys

BA865000 - \SystemRoot\system32\DRIVERS\STREAM.SYS

A98A7000 - \SystemRoot\system32\DRIVERS\P0630EVX.SYS

B9ECF000 - \SystemRoot\System32\Drivers\LHidUsbK.Sys

B9EBF000 - \SystemRoot\System32\Drivers\HIDCLASS.SYS

F77EF000 - \SystemRoot\System32\DRIVERS\usbccgp.sys

F77F7000 - \??\C:\WINDOWS\System32\Drivers\sunkfilt.sys

F77FF000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

F773F000 - \SystemRoot\system32\DRIVERS\LHidKE.Sys

BAE7A000 - \SystemRoot\System32\DRIVERS\mouhid.sys

A9A59000 - \SystemRoot\system32\DRIVERS\LMouKE.Sys

BAE76000 - \SystemRoot\System32\DRIVERS\hidusb.sys

A9DDB000 - \SystemRoot\System32\DRIVERS\kbdhid.sys

BA855000 - \SystemRoot\System32\Drivers\Cdfs.SYS

BF800000 - \SystemRoot\System32\win32k.sys

A9C8B000 - \SystemRoot\System32\drivers\Dxapi.sys

BA5D1000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7A7C000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA18000 - \SystemRoot\System32\ati2cqag.dll

BFA5F000 - \SystemRoot\System32\atikvmag.dll

BFAA5000 - \SystemRoot\System32\ati3duag.dll

BFCF0000 - \SystemRoot\System32\ativvaxx.dll

A75AB000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

A7176000 - \SystemRoot\system32\drivers\wdmaud.sys

A72A3000 - \SystemRoot\system32\drivers\sysaudio.sys

A6FA5000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys

A6F00000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F79F3000 - \SystemRoot\System32\Drivers\ParVdm.SYS

A6E95000 - \SystemRoot\system32\DRIVERS\atksgt.sys

A6F59000 - \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS

A9625000 - \SystemRoot\system32\DRIVERS\lirsgt.sys

A6D7B000 - \SystemRoot\System32\DRIVERS\srv.sys

A6E7D000 - \SystemRoot\System32\DRIVERS\mdmxsdk.sys

A6F6D000 - \SystemRoot\System32\DRIVERS\secdrv.sys

F79B7000 - \??\C:\WINDOWS\system32\Drivers\Vcs.sys

A67D5000 - \SystemRoot\system32\drivers\kmixer.sys

F7A6B000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 149

 

Liste des programmes installes

 

3DMark03

a-squared Free 2.1

ABBYY FineReader 5.0 Sprint Plus

ABBYY FineReader 6.0

Ad-Aware SE Personal

Adobe PageMaker 6.5

Adobe Reader 7.0.8 - Français

AIDA32 v3.93

AiO_Scan

AIOMinimal

AiOSoftware

ALZip

Archiveur WinRAR

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Display Driver

µTorrent

Avira AntiVir PersonalEdition Classic

CCleaner (remove only)

Commande ECHO désactivée.

Composant de Presto! BizCard 4.0 pour Windows CE

Connexion Facile à Internet

Connexion Facile à Internet

Creative WebCam Center

Creative WebCam Live! Driver (1.01.01.0730)

Creative ZEN V Series (R2)

Dell Color Printer 725

DiMAGE Viewer

EasyCleaner

eMule

Enhanced Multimedia Keyboard Solution

EPSON Copy Utility

EPSON Photo Print

EPSON Scan

EPSON Smart Panel

Fax

FileZilla (remove only)

Free - Kit de connexion

Gestionnaire de disques amovible Creative

HijackThis 1.99.1

HP Deskjet Preloaded Printer Drivers

HP PSC & OfficeJet 3.0

HP Software Update

HpSdpAppCoreApp

Installer Yahoo! Messenger

Intel® Extreme Graphics Driver

InterVideo WinDVD Player

iPAQ Download Agent

J2SE Runtime Environment 5.0 Update 6

Jasc Paint Shop Pro 9

Java 2 Runtime Environment, SE v1.4.2

Java SE Runtime Environment 6 Update 1

Lecteur musicMe

Lecteur Windows Media 10

Logitech Desktop Messenger

Logitech SetPoint

Manuel d'utilisation de Creative WebCam Live! (Français)

Messenger Plus! Live

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft Data Access Components KB870669

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Standard Edition 2003

Microsoft Works

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)

Mise à jour pour Windows XP (KB936357)

Mozilla Firefox (2.0.0.4)

MS Access 97 SP2

MSXML 4.0 SP2 (KB927978)

Multimedia Card Reader

Multimedia Card Reader

Nero 7 Ultra Edition

NVIDIA GART Driver

O&O Defrag Professional Edition

overland

Panda ActiveScan

Presto! BizCard 4.1 Fre

PrintScreen

Proteus 6 Professional

QuickTime

QuickTime

Readme

Roll

RollerCoaster Tycoon 2

RollerCoaster Tycoon 2: Time Twister

RollerCoaster Tycoon 2: Wacky Worlds

Scan

ScanToWeb

Shape Viewer 1.1

Skype 3.0

Skype Plugin Manager

SpeedFan (remove only)

Spybot - Search & Destroy 1.4

SSH Secure Shell

Sélecteur d'installation de Microsoft Works 2004

SuperCopier

Theme Hospital

WebFldrs XP

Windows Internet Explorer 7

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Media Format Runtime

Windows XP Service Pack 2

WinZip

Worms for Pocket PC

ZoneAlarm

 

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\Program Files

 

11/07/2007 18:51 <REP> .

11/07/2007 18:51 <REP> ..

25/06/2007 19:19 <REP> ABBYY

02/03/2006 17:10 <REP> Adobe

20/11/2005 02:50 <REP> AIDA32 - Personal System Information

24/12/2006 20:14 <REP> Alcohol Soft

10/07/2007 22:14 <REP> AntiVir PersonalEdition Classic

02/03/2006 20:29 <REP> ArcSoft

20/11/2006 21:12 <REP> a-squared Free

12/02/2006 20:13 <REP> ATI Technologies

07/04/2007 19:26 <REP> Audible

25/09/2004 13:47 <REP> AvantGo Connect

10/07/2007 22:10 <REP> Avast4

09/06/2007 14:06 <REP> BufferZone

09/07/2007 18:53 <REP> CCleaner

25/09/2004 13:47 <REP> Common Files

21/01/2005 19:29 <REP> ConnexionThemes

07/04/2007 21:17 <REP> Creative

28/03/2007 15:43 <REP> Dell Color Printer 725

04/01/2007 14:11 <REP> DiMAGE Viewer

27/06/2007 18:54 <REP> Dl_cats

02/01/2007 20:05 <REP> Easy Internet signup

10/07/2007 00:06 <REP> eMule

25/06/2007 18:56 <REP> EPSON

27/01/2006 22:15 <REP> ESET

09/02/2007 12:47 <REP> ESTsoft

25/06/2007 19:19 <REP> Fichiers communs

09/02/2007 23:01 <REP> FileZilla

28/11/2004 11:31 <REP> Free.fr

25/12/2005 18:42 <REP> Futuremark

10/07/2007 19:55 <REP> Grisoft

24/12/2005 20:24 <REP> Hewlett-Packard

10/07/2007 20:51 <REP> HijackThis

15/06/2007 22:31 <REP> Hospital

02/03/2006 17:28 <REP> HP

01/01/2003 20:14 <REP> HP Pavilion PC Help

13/06/2007 10:14 <REP> Internet Explorer

27/03/2004 21:51 <REP> InterVideo

21/01/2005 19:13 <REP> iPAQ Download Agent

06/07/2007 00:04 <REP> Java

09/07/2007 22:35 <REP> Lavasoft

16/12/2006 20:36 <REP> Logitech

07/04/2007 19:35 <REP> Microsoft ActiveSync

01/01/2003 17:39 <REP> microsoft frontpage

22/02/2007 15:08 <REP> Microsoft Office

20/11/2004 12:15 <REP> Microsoft Visual Studio

28/03/2004 19:08 <REP> Microsoft Works

28/03/2004 19:04 <REP> Microsoft Works Suite 2004

20/11/2004 12:14 <REP> Microsoft.NET

13/12/2004 15:55 <REP> Movie Maker

10/07/2007 00:06 <REP> Mozilla Firefox

15/06/2007 15:42 <REP> Mozilla Thunderbird

01/01/2003 17:36 <REP> MSN Gaming Zone

15/06/2007 21:26 <REP> MSN Messenger

05/04/2007 19:16 <REP> Multi_Media_France

10/04/2006 19:59 <REP> Multimedia Card Reader

15/06/2007 18:30 <REP> musicMe

01/05/2006 16:16 <REP> Nero

18/11/2006 18:41 <REP> NetMeeting

25/06/2007 19:22 <REP> NewSoft

01/10/2006 17:16 <REP> OO Software

08/02/2007 12:35 <REP> Open Workbench

13/06/2007 10:15 <REP> Outlook Express

24/12/2005 20:54 <REP> Overland

14/02/2007 19:55 <REP> Paint Shop Pro

15/02/2006 23:27 <REP> QuickTime

23/04/2007 22:42 <REP> RegCleaner

02/10/2005 17:31 774 144 RngInterstitial.dll

08/07/2007 21:59 <REP> RollerCoaster Tycoon 2

25/06/2007 18:54 <REP> SEIKO EPSON Corp

01/01/2003 20:20 <REP> Services en ligne

15/01/2007 19:27 <REP> Skype

25/06/2007 19:19 <REP> Smart Panel

16/06/2007 14:29 <REP> SpeedFan

21/04/2007 12:09 <REP> Spybot - Search & Destroy

08/01/2007 18:08 <REP> SuperCopier

03/12/2005 17:14 <REP> SymNetDrv

10/07/2007 00:01 <REP> ToniArts

13/05/2007 11:02 <REP> uTorrent

15/06/2007 21:26 <REP> Windows Live

07/04/2007 14:49 <REP> Windows Media Player

13/06/2006 20:56 <REP> Windows NT

19/02/2006 01:11 <REP> WinRAR

01/05/2006 16:07 <REP> WinZip

01/01/2003 17:39 <REP> xerox

21/10/2006 20:45 <REP> Zone Labs

1 fichier(s) 774 144 octets

85 Rép(s) 56 773 345 280 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\Program Files\fichiers communs

 

25/06/2007 19:19 <REP> .

25/06/2007 19:19 <REP> ..

02/03/2006 17:10 <REP> Adobe

20/12/2005 23:43 <REP> Agnitum Shared

01/05/2006 16:19 <REP> Ahead

20/11/2004 12:15 <REP> DESIGNER

05/03/2005 21:23 <REP> DirectX

01/01/2003 19:09 <REP> Hewlett-Packard

14/02/2007 17:33 <REP> InstallShield

27/03/2004 21:51 <REP> InterVideo

14/02/2007 17:33 <REP> Jasc Software Inc

01/01/2003 18:38 <REP> Java

16/12/2006 20:35 <REP> Logitech

05/11/2006 12:47 <REP> Microsoft Shared

01/01/2003 17:37 <REP> MSSoap

28/12/2005 14:12 <REP> NSV

01/01/2003 17:33 <REP> ODBC

25/06/2007 19:19 <REP> Python

15/04/2007 00:11 <REP> Real

15/05/2007 19:37 <REP> Services

15/01/2007 19:27 <REP> Skype

01/01/2003 17:33 <REP> SpeechEngines

19/03/2006 22:32 <REP> Symantec Shared

13/06/2007 10:15 <REP> System

28/04/2007 13:59 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

25 Rép(s) 56 773 345 280 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

20/11/2004 12:15 <REP> .

20/11/2004 12:15 <REP> ..

20/11/2004 12:15 <REP> 1033

20/11/2004 12:15 <REP> 1036

11/07/2003 11:15 1 292 872 MSONSEXT.DLL

15/07/2003 07:52 35 896 MSOSV.DLL

03/06/1999 22:09 122 937 MSOWS409.DLL

07/03/2001 17:00 127 033 MSOWS40c.DLL

11/07/2003 03:25 80 448 PKMWS.DLL

5 fichier(s) 1 659 186 octets

4 Rép(s) 56 773 345 280 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\Program Files\common files

 

25/09/2004 13:47 <REP> .

25/09/2004 13:47 <REP> ..

25/09/2004 13:47 <REP> Microsoft Shared

10/12/2004 18:11 <REP> System

0 fichier(s) 0 octets

4 Rép(s) 56 773 345 280 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 846D-4157

 

Répertoire de C:\

 

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 56 773 345 280 octets libres

c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KT27W1IF\nl_207_pro[1].exe

c:\Documents and Settings\Propriétaire\.limewire\.NetworkShare\LimeWireWinInstaller.exe

c:\Documents and Settings\Propriétaire\.limewire\.NetworkShare\Incomplete\T-2789784-LimeWireWin4.10.5.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\ARPPRODUCTICON.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\musicMe.exe_E32DACF51EC241118C89CE504DD440CF_1.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\musicMe.exe1_E32DACF51EC241118C89CE504DD440CF_1.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\musicMe.exe11_E32DACF51EC241118C89CE504DD440CF.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\NewShortcut1_E32DACF51EC241118C89CE504DD440CF_1.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\NewShortcut3_478D3714ED28457FA13E1565B00C7613.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\NewShortcut4_36AFF91A48F44EFDB674045F8F8A0308.exe

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\Installer\{478D3714-ED28-457F-A13E-1565B00C7613}\UNINST_Uninstall_Lec_36AFF91A48F44EFDB674045F8F8A0308.exe

c:\Documents and Settings\Propriétaire\Bureau\antivir-personal-edition-7_antivir_personal_edition_classic_7_7.00.04.15_anglais_10821.exe

c:\Documents and Settings\Propriétaire\Bureau\avg75free_472a1024.exe

c:\Documents and Settings\Propriétaire\Bureau\EClea2_0.exe

c:\Documents and Settings\Propriétaire\Bureau\rct2.exe

c:\Documents and Settings\Propriétaire\Bureau\setupfre.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix.exe

c:\Documents and Settings\Propriétaire\Bureau\vpsupd.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Propriétaire\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Reboot.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\Propriétaire\Local Settings\Application Data\MusicMe Player\musicMeUpdate.exe

c:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\WinRAR\wrar342fr.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Expsrv.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msado15.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msadox.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msadrh15.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjet40.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjetoledb40.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjint40.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjro.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjter40.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Msjtes40.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\Mswstr10.dll

c:\Documents and Settings\Propriétaire\Application Data\Creative\Media Database\JetFileBackup\vbajet32.dll

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Propriétaire\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

c:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\am8dnn5f.default\extensions\{1650a312-02bc-40ee-977e-83f158701739}\components\FFHook.dll

c:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\am8dnn5f.default\extensions\{1650a312-02bc-40ee-977e-83f158701739}\components\McAPFilt.dll

 

****** Fin du rapport DiagHelp

 

et enfin le piti dernier hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:10:02, on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\dlcfcoms.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O1 - Hosts: 127.255.255.255 www.alcohol-soft.com

O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {B8DFCCE2-BDDC-AC5C-A0FC-873815DF3E9C} - (no file)

O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

voila :P

 

je pense que cela se présente bien ! je nais plus d'activités du style engendrées par le virus :P

 

j'attend néanmoins lavis de l'ennemi n°1 des virus avant de crier victoire :P

 

ece

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ece :P

 

Ca va mieux on dirait !

 

* Elimine le dossier C:\Program Files\Multi_Media_France

 

* Passe par "Ajouter/Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

J2SE Runtime Environment 5.0 Update 6

 

Java 2 Runtime Environment, SE v1.4.2

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {B8DFCCE2-BDDC-AC5C-A0FC-873815DF3E9C} - (no file)

O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Pour en finir, fais ce scan en ligne stp >

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

En cas de souci >

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+

ece Member

ece

Posté(e)
  • Auteur
Posté(e)

coucou

 

laborieux le scan ll cétait long ^^ :P

 

voila le rapport pour panda :

 

 

Incident Status Location

 

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\anne.NOM-FQIMEKRLHDE\Cookies\anne@xiti[1].txt

Spyware:Cookie/Winantivirus Not disinfected C:\Documents and Settings\olivier.NOM-FQIMEKRLHDE\Cookies\olivier@go.winantispyware[1].txt

Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\olivier.NOM-FQIMEKRLHDE\Cookies\olivier@stats1.reliablestats[1].txt

Spyware:Cookie/Winantivirus Not disinfected C:\Documents and Settings\olivier.NOM-FQIMEKRLHDE\Cookies\olivier@winantispyware[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\olivier.NOM-FQIMEKRLHDE\Cookies\olivier@xiti[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\am8dnn5f.default\cookies.txt[.xiti.com/]

Spyware:Cookie/RealMedia Not disinfected C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[2].txt

Spyware:Cookie/Overture Not disinfected C:\Documents and Settings\Propriétaire\Cookies\propriétaire@overture[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[2].txt

Spyware:Cookie/FastClick Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc10.txt

Spyware:Cookie/Weborama Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc27.txt

Spyware:Cookie/Xiti Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc31.txt

Spyware:Cookie/Adviva Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc5.txt

Spyware:Cookie/Atlas DMT Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc6.txt

Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc7.txt

Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\S-1-5-21-1598091200-3431980615-1615507337-1012\Dc9.txt

Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

ece :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ece :P

 

Très bien ce rapport! il ne montre rien de mauvais.

 

Un petit coup de nettoyage >

 

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique ATF Cleaner afin de lancer le programme.

  • Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Si tu utilises le navigateur Firefox :
     
     
  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Si tu utilises le navigateur Opera :
     
     
  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Clique Exit, du menu prinicipal, afin de fermer le programme.

Comment fonctionne ton pc à présent?

ece Member

ece

Posté(e)
  • Auteur
Posté(e)

coucou :P

 

ba il marche toujours au ralenti :P ca doit etre mon OS, ses bases doivent etre devenu un vrai sac a merdier depuis ltemps :P ca fait au moins 6 ans que je l'ais et ses performances sont plus terribles ... :P

 

le ménage quon viens de faire dans les fichiers n'a pas amélioré cet aspect "secondaire" ^^

 

mais le virus qui était le principal probleme ne mennui plus en tout cas ! il ne se manifeste plus :P

 

gros merci pour ton aide charles :P tu es the best des antivirus :P:P

 

bonne continuation et encore merci pour le temps que tu ma accordé :P

 

ece :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

le ménage quon viens de faire dans les fichiers n'a pas amélioré cet aspect "secondaire" ^^

Oui en fait ce n'était pas vraiment le but: je voulais au passage virer les cookies et les fichiers inutiles.

 

Pense à défragmenter ton disque dur si tu ne le fais pas souvent! ca redonnera un coup de fouet.

 

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Un nettoyage des outils téléchargés à présent >

  • Télécharge Erase!Beta de A.Rothstein qui va supprimer ce que l'on à téléchargé durant la procédure.
  • Enregistre le fichier sur le Bureau puis dézippe le .
  • Double-clique sur le fichier Erase!beta sur ton bureau >3707a12f26a138c8a4bddb3349c8.gif< L'outil va procéder au nettoyage.
  • Copie le rapport qui se trouve ici > C:\RapportEP.txt et poste le dans ta prochaine réponse.

------------------------------------------------------------

 

Stp, quand tu auras le temps(ca prend 5 minutes) et si tu veux bien>

 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors n'hésite pas :

- Voir les règles de Malware-Complaints

- Enregistre toi sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, pour toi il s'agit de Trojan Zlob, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clique sur le bouton "post reply" et complête les informations.

 

Si tu as des questions ou des problèmes, n'hésite pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

 

ps: n'hésite pas à témoigner sur Malware Complaints , ca fera réagir les dirigeants et permettra de rendre la toile plus sûre :P

 

@ + tard :P

Modifié par charles ingals
  • Tonton a modifié le titre en Trojan Adware.W32.ExpDwnldr tenace

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...