Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Résolu - Thinkpad très lent - rapport HijackThis

pilot

Par pilot
dans Analyses et éradication malwares

 Partager

Messages recommandés

pilot Member

pilot

Posté(e)
Posté(e) (modifié)

Bonsoir,

Après avoir éradiqué des malwares le mois dernier (cf PC sous windows XP infecté), le système est très lent, surtout au démarrage. Ci-dessous nouveau rapport HijackThis. Est-il possible de faire quelque chose ?

 

-------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19:38:48, on 05/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\Program Files\ArcSoft\Media Card Companion\MCC Monitor.exe

C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\notex\Mes documents\Téléchargements\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [s3TRAY2] S3Tray2.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [bMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [bMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Media Card Companion Monitor.lnk = C:\Program Files\ArcSoft\Media Card Companion\MCC Monitor.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 10941 bytes

Modifié par pilot

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir pilot :P

 

Je ne vois pas de pare-feu, quel est-il ?

 

Dans tes processus, je vois 3 Google Desktop Search qui tournent en même temps, il semble déja qu'il y ait un disfonctionnement de ce côté la. Je te suggère de le désinstaller, ou de le désactiver temporairement.

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse le, sur ton bureau par exemple.
  • Un nouveau dossier chercher va être créé DiagHelp.
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

A plus tard.

pilot Member

pilot

Posté(e)
  • Auteur
Posté(e)

Bonjour Gof,

Je n'ai pas installé de pare-feu, j'utilise celui qui est intégré à Windows XP (j'ai vérifié, il est effectivement actif).

Voici le rapport DiagHelp après désinstallation de GoogleDesktop (j'ai également désinstallé un exemplaire de Kaspersky online scanner qui apparassait en double dans la liste des programmes).

Bonne journée,

 

-----------------------------------

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 07/08/2007 à 8:38:26,11

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\NSDriver.sys -->04/06/2007 15:18:48

C:\WINDOWS\System32/drivers\AWRTRD.sys -->04/06/2007 15:17:02

C:\WINDOWS\System32/drivers\AWRTPD.sys -->04/06/2007 15:14:56

C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32/drivers\avipbb.sys -->20/03/2007 09:55:45

C:\WINDOWS\System32/drivers\ssmdrv.sys -->01/03/2007 10:34:36

C:\WINDOWS\System32/drivers\avgntdd.sys -->27/02/2007 15:18:30

 

C:\WINDOWS\System32\wpa.dbl -->07/08/2007 08:04:43

C:\WINDOWS\System32\FFASTLOG.TXT -->07/08/2007 08:03:03

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->26/07/2007 23:56:19

C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38

C:\WINDOWS\System32\javacpl.cpl -->12/07/2007 02:22:36

C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04

C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00

C:\WINDOWS\System32\tmp.txt -->09/07/2007 19:58:22

C:\WINDOWS\System32\tmp.reg -->09/07/2007 19:58:22

C:\WINDOWS\System32\msvcp71.dll -->08/07/2007 00:28:23

C:\WINDOWS\System32\msvcr71.dll -->07/07/2007 02:11:49

C:\WINDOWS\System32\MRT.exe -->28/06/2007 09:57:27

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->17/06/2007 22:05:33

C:\WINDOWS\System32\MSForms.TWD -->30/05/2007 19:15:58

C:\WINDOWS\System32\FNTCACHE.DAT -->21/05/2007 19:21:27

C:\WINDOWS\System32\inetcomm.dll -->16/05/2007 17:13:53

C:\WINDOWS\System32\mapisvc.inf -->16/05/2007 01:02:03

C:\WINDOWS\System32\perfh00C.dat -->15/05/2007 21:13:44

C:\WINDOWS\System32\perfh009.dat -->15/05/2007 21:13:44

C:\WINDOWS\System32\perfc00C.dat -->15/05/2007 21:13:44

C:\WINDOWS\System32\perfc009.dat -->15/05/2007 21:13:44

C:\WINDOWS\System32\PerfStringBackup.INI -->15/05/2007 21:13:41

C:\WINDOWS\System32\nscompat.tlb -->15/05/2007 21:06:19

C:\WINDOWS\System32\amcompat.tlb -->15/05/2007 21:06:19

C:\WINDOWS\System32\TZLog.log -->15/05/2007 20:46:26

 

C:\WINDOWS\WindowsUpdate.log -->07/08/2007 08:30:28

C:\WINDOWS.log -->07/08/2007 08:02:09

C:\WINDOWS\bootstat.dat -->07/08/2007 08:02:03

C:\WINDOWS\SchedLgU.Txt -->05/08/2007 21:25:08

C:\WINDOWS\dat.txt -->09/07/2007 18:43:31

C:\WINDOWS\rs.txt -->09/07/2007 18:39:08

C:\WINDOWS\notex.pcb -->30/06/2007 20:17:17

C:\WINDOWS\notex.acl -->17/06/2007 21:48:44

C:\WINDOWS\FlitePro.ini -->20/05/2007 10:37:15

C:\WINDOWS\SimView.ini -->20/05/2007 09:20:59

C:\WINDOWS\Jeppesen.ini -->20/05/2007 09:16:20

C:\WINDOWS\Microsoft.MIF -->16/05/2007 01:13:30

C:\WINDOWS\$_hpcst$.hpc -->16/05/2007 01:13:21

C:\WINDOWS\KPCMS.INI -->16/05/2007 01:09:26

C:\WINDOWS\win.ini -->16/05/2007 01:01:54

 

 

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 17:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 31 986 360 320 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

07/08/2007 08:19 <REP> .

07/08/2007 08:19 <REP> ..

30/09/2002 17:28 65 desktop.ini

14/10/1997 19:52 697 DirectAnimation Java Classes.osd

14/03/2007 04:02 1 055 jinstall-6u1.inf

13/04/2007 15:27 367 LegitCheckControl.inf

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

14/02/2007 16:30 144 setup.inf

27/03/2007 16:00 5 021 swflash.inf

7 fichier(s) 8 511 octets

 

Total des fichiers listés :

7 fichier(s) 8 511 octets

2 Rép(s) 31 986 360 320 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"="C:\\Program Files\\Microsoft

 

ActiveSync\\WCESCOMM.EXE:*:Enabled:Connection Manager"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMGR.EXE"="C:\\Program Files\\Microsoft

 

ActiveSync\\WCESMGR.EXE:*:Enabled:ActiveSync Application"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\PeerTV\\PeerCast.exe"="C:\\Program Files\\PeerTV\\PeerCast.exe:*:Enabled:PeerCast"

"C:\\Program Files\\Support.com\\Bin\\tgcmd.exe"="C:\\Program Files\\Support.com\\Bin\\tgcmd.exe:*:Disabled:Support.com

 

Scheduler and Command Dispatcher"

"C:\\Program Files\\PeerTV\\VLC\\vlc.exe"="C:\\Program Files\\PeerTV\\VLC\\vlc.exe:*:Disabled:VLC media player"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath

 

"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-07 08:38:42

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

156 - QCWLICON.EXE

172 - AGRSMMSG.exe

208 - TpKmapMn.exe

292 - ibmmessages.exe

364 - WCESCOMM.EXE

388 - sched.exe

728 - csrss.exe

752 - winlogon.exe

796 - services.exe

808 - lsass.exe

908 - ati2evxx.exe

1012 - svchost.exe

1024 - aawservice.exe

1092 - svchost.exe

1132 - svchost.exe

1236 - MCC Monitor.exe

1248 - avgnt.exe

1324 - FINDFAST.EXE

1452 - ctfmon.exe

1460 - svchost.exe

1468 - explorer.exe

1804 - avguard.exe

1932 - Skype.exe

1976 - SynTPLpr.exe

2004 - SynTPEnh.exe

2040 - TPHKMGR.exe

2292 - GoogleUpdaterSe

3240 - cmd.exe

 

Total number of processes = 29

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F9760000 - \WINDOWS\system32\KDCOM.DLL

F9670000 - \WINDOWS\system32\BOOTVID.dll

F9210000 - ACPI.sys

F9762000 - \WINDOWS\System32\drivers\WMILIB.SYS

F91FF000 - pci.sys

F9260000 - isapnp.sys

F9674000 - compbatt.sys

F9678000 - \WINDOWS\System32\DRIVERS\BATTC.SYS

F9828000 - pciide.sys

F94E0000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F9764000 - intelide.sys

F91E1000 - pcmcia.sys

F9270000 - MountMgr.sys

F91C2000 - ftdisk.sys

F967C000 - ACPIEC.sys

F9829000 - \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS

F94E8000 - PartMgr.sys

F9280000 - VolSnap.sys

F91AA000 - atapi.sys

F9290000 - disk.sys

F92A0000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F918A000 - fltmgr.sys

F9178000 - sr.sys

F9161000 - KSecDD.sys

F90D4000 - Ntfs.sys

F90A7000 - NDIS.sys

F908C000 - Mup.sys

F92B0000 - agp440.sys

F93A0000 - \SystemRoot\System32\DRIVERS\intelppm.sys

F8FAE000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys

F8F9A000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F9528000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F8F77000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F8F61000 - \SystemRoot\System32\DRIVERS\PCX504.sys

F8F3E000 - \SystemRoot\System32\DRIVERS\e100b325.sys

F93B0000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F9530000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F8EFD000 - \SystemRoot\System32\DRIVERS\SynTP.sys

F9776000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F9538000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F9540000 - \SystemRoot\System32\DRIVERS\fdc.sys

F8EEC000 - \SystemRoot\System32\DRIVERS\serial.sys

F9714000 - \SystemRoot\System32\DRIVERS\serenum.sys

F8ED8000 - \SystemRoot\System32\DRIVERS\parport.sys

F9548000 - \SystemRoot\System32\DRIVERS\nscirda.sys

F9718000 - \SystemRoot\System32\DRIVERS\irenum.sys

F9720000 - \SystemRoot\System32\DRIVERS\CmBatt.sys

F9550000 - \SystemRoot\System32\DRIVERS\ibmpmdrv.sys

F93C0000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F93D0000 - \SystemRoot\System32\DRIVERS\redbook.sys

F8EB5000 - \SystemRoot\System32\DRIVERS\ks.sys

F8E9D000 - \SystemRoot\system32\drivers\ac97intc.sys

F8E79000 - \SystemRoot\system32\drivers\portcls.sys

F93E0000 - \SystemRoot\system32\drivers\drmk.sys

F8D5E000 - \SystemRoot\System32\DRIVERS\AGRSM.sys

F9558000 - \SystemRoot\System32\Drivers\Modem.SYS

F9908000 - \SystemRoot\System32\DRIVERS\audstub.sys

F9560000 - \SystemRoot\System32\DRIVERS\rasirda.sys

F9568000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F93F0000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F9734000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F8D1F000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F9400000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F9410000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F8D0E000 - \SystemRoot\System32\DRIVERS\psched.sys

F9420000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F9570000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F9578000 - \SystemRoot\System32\DRIVERS\raspti.sys

F8CDD000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

F9430000 - \SystemRoot\System32\DRIVERS\termdd.sys

F977A000 - \SystemRoot\System32\DRIVERS\swenum.sys

F8C84000 - \SystemRoot\System32\DRIVERS\update.sys

F974C000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F9450000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F94A0000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F977E000 - \SystemRoot\System32\Drivers\i2omgmt.SYS

F9780000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F9873000 - \SystemRoot\System32\Drivers\Null.SYS

F9782000 - \SystemRoot\System32\Drivers\Beep.SYS

F95A8000 - \SystemRoot\System32\drivers\vga.sys

F9784000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F9786000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F95B0000 - \SystemRoot\System32\Drivers\Msfs.SYS

F95B8000 - \SystemRoot\System32\Drivers\Npfs.SYS

F96FC000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F3A8B000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F3A33000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F3A0B000 - \SystemRoot\System32\DRIVERS\netbt.sys

F39E9000 - \SystemRoot\System32\drivers\afd.sys

F92E0000 - \SystemRoot\System32\DRIVERS\netbios.sys

F95C0000 - \SystemRoot\System32\drivers\TSMAPIP.SYS

F95C8000 - \SystemRoot\System32\drivers\Tppwr.sys

F9700000 - \SystemRoot\System32\Drivers\TPHKDRV.SYS

F95D0000 - \SystemRoot\System32\drivers\TDSMAPI.SYS

F95D8000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

F95E0000 - \SystemRoot\System32\drivers\Smapint.sys

F399E000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F392F000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F9893000 - \SystemRoot\System32\drivers\IBMBLDID.SYS

F9320000 - \SystemRoot\System32\Drivers\Fips.SYS

F38EE000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F9330000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F9340000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F9788000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys

F8C4C000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F3836000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F9790000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F8C64000 - \SystemRoot\System32\drivers\Dxapi.sys

F9608000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F9915000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA14000 - \SystemRoot\System32\ati3d1ag.dll

F3572000 - \SystemRoot\System32\DRIVERS\irda.sys

F3688000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F3305000 - \SystemRoot\system32\drivers\wdmaud.sys

F34C2000 - \SystemRoot\system32\drivers\sysaudio.sys

F31DC000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys

F2F9F000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F978E000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F2B2A000 - \??\C:\WINDOWS\system32\drivers\PfModNT.sys

F97FA000 - \??\C:\WINDOWS\system32\drivers\PMEMNT.SYS

F29C0000 - \SystemRoot\System32\DRIVERS\srv.sys

F2867000 - \SystemRoot\System32\Drivers\HTTP.sys

F24C6000 - \SystemRoot\system32\drivers\kmixer.sys

F9889000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 129

 

Liste des programmes installes

 

Access IBM

Access IBM Message Center

Access IBM Tools

Ad-Aware 2007

Adobe Flash Player 9 ActiveX

Adobe Photoshop 5.0 Limited Edition

Adobe Reader 8.1.0 - Français

Adobe Shockwave Player

Agere Systems AC'97 Modem

ArcSoft Media Card Companion

Assistant IBM ThinkPad UltraNav

ATI Control Panel

ATI Display Driver

ATI HydraVision

Avira AntiVir PersonalEdition Classic

CCleaner (remove only)

Correctif pour Windows XP (KB914440)

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Creative MediaSource

Creative MuVo V200

Creative System Information

EMEA Wallpaper

FlitePro 6.2

Fonction d'accessibilité du dispositif IBM TrackPoint

Gestionnaire de présentation IBM ThinkPad

Google Earth

Google Toolbar for Internet Explorer

Google Toolbar for Internet Explorer

HijackThis 2.0.0

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix for Windows XP (KB915865)

IBM Access Connections

IBM Access Support - Local Content Pack

IBM Cleanup Utility

IBM Rapid Restore PC Setup

IBM Themes

IBM ThinkPad EasyEject

IBM ThinkPad Power Management Driver

IBM ThinkPad UltraNav Driver

Intel® PRO Network Adapters and Drivers

InterVideo WinDVD

Java 6 Update 2

Java SE Runtime Environment 6 Update 1

Kaspersky On-line Scanner

Lecteur Windows Media 11

Microsoft ActiveSync 3.7

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Flight Simulator 98

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office 97 Standard

Microsoft User-Mode Driver Framework Feature Pack 1.0

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)

Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931768)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB936357)

Music Manager

MuVo Driver

Optimiseur de batterie et gestion de l'alimentation du ThinkPad

Outil de mise à jour Google

PC-Doctor pour Windows

PC Inspector File Recovery

PDFCreator

Programme d'installation de logiciels ThinkPad

Programme de configuration IBM ThinkPad

RealPlayer

SIMView by Jeppesen

Skype 3.2

Skype Plugin Manager

ThinkPad FullScreen Magnifier

Utilitaire de personnalisation du clavier IBM ThinkPad

WebFldrs XP

Windows Genuine Advantage Notifications (KB905474)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Windows XP Service Pack 2

Yahoo! Install Manager

Yahoo! Toolbar

Yahoo! Toolbar avec bloqueur de fenêtres pop-up

 

 

 

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\Program Files

 

02/08/2007 14:19 <REP> .

02/08/2007 14:19 <REP> ..

16/06/2007 21:53 <REP> Adobe

02/08/2007 14:20 <REP> AntiVir PersonalEdition Classic

16/05/2007 01:21 <REP> ArcSoft

01/03/2006 10:52 <REP> ATI Technologies

16/05/2007 01:13 <REP> AvantGo Connect

02/08/2007 14:20 <REP> CCleaner

16/05/2007 01:13 <REP> Common Files

30/09/2002 17:26 <REP> ComPlus Applications

15/05/2007 23:03 <REP> Creative

10/07/2007 21:15 <REP> eMule

09/07/2007 08:55 <REP> Fichiers communs

15/07/2007 17:04 <REP> Google

01/03/2006 10:58 <REP> IBM

13/06/2007 23:57 <REP> Internet Explorer

01/03/2006 10:59 <REP> InterVideo

26/07/2007 23:56 <REP> Java

07/07/2007 02:09 <REP> Lavasoft

01/03/2006 10:52 <REP> ltmoh

15/05/2007 21:10 <REP> Messenger

16/05/2007 01:13 <REP> Microsoft ActiveSync

30/09/2002 17:31 <REP> microsoft frontpage

20/05/2007 09:05 <REP> Microsoft Games

16/05/2007 01:06 <REP> Microsoft Office

14/12/2006 20:49 <REP> Movie Maker

30/09/2002 17:25 <REP> MSN

30/09/2002 17:26 <REP> MSN Gaming Zone

15/05/2007 23:02 <REP> Music Manager

14/12/2006 20:45 <REP> NetMeeting

13/06/2007 23:59 <REP> Outlook Express

28/06/2007 22:51 <REP> PC Inspector File Recovery

01/03/2006 11:12 <REP> PC-Doctor for Windows

17/05/2007 14:58 <REP> PDFCreator

10/07/2007 21:19 <REP> PeerTV

15/05/2007 20:10 <REP> Real

01/03/2006 10:57 <REP> SBApps

30/09/2002 17:26 <REP> Services en ligne

15/05/2007 20:13 <REP> Skype

07/07/2007 00:39 <REP> Support.com

01/03/2006 10:42 <REP> Synaptics

01/03/2006 10:49 <REP> ThinkPad

15/05/2007 21:03 <REP> Windows Media Connect 2

15/05/2007 21:03 <REP> Windows Media Player

16/05/2007 01:00 <REP> Windows Messaging

14/12/2006 20:45 <REP> Windows NT

30/09/2002 17:31 <REP> xerox

02/08/2007 14:19 <REP> Yahoo!

0 fichier(s) 0 octets

48 Rép(s) 31 986 147 328 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\Program Files\fichiers communs

 

09/07/2007 08:55 <REP> .

09/07/2007 08:55 <REP> ..

16/06/2007 21:54 <REP> Adobe

15/05/2007 20:08 <REP> InstallShield

17/06/2007 21:57 <REP> Java

16/05/2007 01:02 <REP> Microsoft Shared

30/09/2002 17:27 <REP> MSSoap

30/09/2002 17:20 <REP> ODBC

15/05/2007 20:11 <REP> Real

30/09/2002 17:28 <REP> Services

15/05/2007 20:13 <REP> Skype

30/09/2002 17:20 <REP> SpeechEngines

13/06/2007 23:59 <REP> System

07/07/2007 02:06 <REP> Wise Installation Wizard

15/05/2007 20:11 <REP> xing shared

0 fichier(s) 0 octets

15 Rép(s) 31 986 147 328 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

30/09/2002 17:38 <REP> .

30/09/2002 17:38 <REP> ..

18/05/2001 18:57 561 209 MSONSEXT.DLL

03/06/1999 15:09 122 937 MSOWS409.DLL

07/03/2001 10:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 31 986 147 328 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\Program Files\common files

 

16/05/2007 01:13 <REP> .

16/05/2007 01:13 <REP> ..

16/05/2007 01:13 <REP> Microsoft Shared

0 fichier(s) 0 octets

3 Rép(s) 31 986 147 328 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le numéro de série du volume est 407C-CD2F

 

Répertoire de C:\

 

11/07/2007 21:11 68 096 diff.exe

11/07/2007 21:11 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 31 986 143 232 octets libres

c:\Documents and Settings\notex\Application

 

Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\ARPPRODUCTICON.exe

c:\Documents and Settings\notex\Application

 

Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\notex\Application

 

Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\notex\Application

 

Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe

c:\Documents and Settings\notex\Application Data\U3\temp\cleanup.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\notex\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\notex\Local Settings\Application Data\Google\Google

 

Desktop\f52bb5cbde4f\downloaded_gadgets\WinAmp%20Control%20Setup.exe

c:\Documents and Settings\notex\Mes

 

documents\Téléchargements\antivir-personal-edition-7_antivir_personal_edition_classic_7_7.00.04.15_anglais_10821.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\avg75iswt_476a1043.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\ccsetup141.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\eMule0.48a-Installer.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\HiJackThis_v2.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\pci_filerecovery.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\PeerTV-Install.exe

c:\Documents and Settings\notex\Mes documents\Téléchargements\RemoteControl.exe

c:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Expsrv.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msado15.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msadox.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msadrh15.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjet40.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjetoledb40.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjint40.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjro.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjter40.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Msjtes40.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\Mswstr10.dll

c:\Documents and Settings\notex\Application Data\Creative\Media Database\JetFileBackup\vbajet32.dll

 

****** Fin du rapport DiagHelp

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir pilot :P

 

Poursuis avec une analyse en ligne je te prie.

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

pilot Member

pilot

Posté(e)
  • Auteur
Posté(e)

Voici le rapport Kaspersky :

 

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, August 07, 2007 11:39:51 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 7/08/2007

Enregistrements dans la base antivirus Kaspersky : 353553

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

C:\

D:\

 

Statistiques de l'analyse

Total d'objets analysés 51859

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:25:02

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\call256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\callmember256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\chat512.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\chatmember256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\chatmsg1024.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\chatmsg256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\chatmsg512.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\contactgroup256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\dyncontent\bundle.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\index2.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\profile16384.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\user1024.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\user16384.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Application Data\Skype\pilot.mooney\voicemail256.dbb L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\Enregistrement automatique deRelevance lost.asd L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~DF1462.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~DF4DF.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~DF8C70.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~DF8C9E.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~DFE8D.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~WRL0004.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~WRL3763.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temp\~WRS0000.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\Mes documents\MBA Dauphine\Fiches de lecture\Relevance lost.doc L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\notex\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Microsoft Office\Modèles\Normal.dot L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP23\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\EventCache\{9B6A5133-5D37-4C9E-9162-B68A0E98C788}.bin L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir pilot :P

 

Je ne vois pas d'origine infectieuse à tes ralentissements. Sont-ils toujours présents ? Peux tu associer ces ralentissements à un évènement particulier ?

pilot Member

pilot

Posté(e)
  • Auteur
Posté(e)

Bonsoir Gof, :P

C'est nettement mieux me semble-t-il, bien que le démarrage soit encore un peu lent (plus de 3 minutes et j'ai perdu au passage l'affichage d'Anitivir dans la barre des tâches :P) . Le problème provenait vraisemblablement du google desktop.

Merci pour le diagnostic

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir pilot :P

 

C'est nettement mieux me semble-t-il, bien que le démarrage soit encore un peu lent

 

Mhm. Ce n'était pas le cas auparavant ? Avant l'apparition de ces soucis ?

 

Tu peux supprimer Diaghelp.zip et le répertoire dans lequel tu l'as décompressé (sur ton bureau). Pense à supprimer les fichiers se trouvant sous C:\ : Diff.exe, grep.exe, ntbtlog_check.txt, et reboot.cmd.

 

Je vais te demander un rapport avec un autre outil. Cette infection n'est pas détectée par les antivirus.

Fais un clic droit sur ce lien : Navilog1

  • Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valide.
    Patiente jusqu'au message : *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  • Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

pilot Member

pilot

Posté(e)
  • Auteur
Posté(e)

Bonjour Gof,

A vrai dire, je n'avais jamais chronométré le démarrage auparavant !... mais il me semblait moins lent (bon, c'est un peu empirique comme réponse, je reconnais...). S'il y a des lignes à fixer dans le rapport HijackThis, qui n'apportent pas de réelle fonctionnalité mais ralentissent la machine, n'hésite pas à me conseiller.

Voici le rapport de Navilog, apparemment clean également :

--------------------------------------------

Search Navipromo version 2.0.7 commencé le 08/09/2007 à 8:59:29,04

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.08.2007 a 18h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\notex\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 09/08/07 at 08:59:30.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ...................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 09/08/07 at 09:06:45 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

3)Recherche Certificats :

 

 

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés :

 

Aucun Fichier trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

*** Analyse Terminé le 08/09/2007 à 9:07:26,73 ***

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour pilot :P

 

Bon, je crois qu'on a fait le tour. Reposte un log hijackthis alors que je t'indique ce qui n'est pas indispensable et l'utilité de certaines applications.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...