Fenêtres de pubs [Résolu] (et grand merci a Wawaseb)

[Florica]

Petits problèmes de pub:

 

Dès l'ouverture d'une fenêtre internet sur mon pc, j'ai une pub indésirable qui s'ouvre.

Je n'arrive pas à déterminer quelle fenêtre active l'ouverture de cette pub et je ne sais donc pas comment m'en débarasser...

Modifié le 9 août 2007 par Florica

[WawaSeb]

Bonjour Florica,

 

*** Bienvenue sur le forum sécurité de Zebulon !!! ***

 

 

Télécharge et installe la dernière version [v2.0.2] de HijackThis :

 

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

 

2) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

3) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le sur ton bureau
  
• Un nouveau dossier va être créé (DiagHelp)
  
• Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  
• Copie/colle le rapport qui s'ouvre sur ce forum
  

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

 

Bon travail à toi !

[Florica]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:15:29, on 7/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.201.6.254

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

 

--

End of file - 6421 bytes

[Florica]

DiagHelp version v1.1.2 - http://www.malekal.com

excute le mar. 07/08/2007 à 11:34:25,01

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32/drivers\ntfs.sys -->9/02/2007 13:10:35

C:\WINDOWS\System32/drivers\fltmgr.sys -->21/08/2006 11:14:58

C:\WINDOWS\System32/drivers\tcpip6.sys -->16/08/2006 11:37:30

C:\WINDOWS\System32/drivers\srv.sys -->14/08/2006 12:34:41

C:\WINDOWS\System32/drivers\rmcast.sys -->13/07/2006 10:48:58

C:\WINDOWS\System32/drivers\wdmaud.sys -->14/06/2006 11:00:45

 

C:\WINDOWS\System32\zyiqcgq.dat -->7/08/2007 11:34:11

C:\WINDOWS\System32\zyiqcgq_navps.dat -->7/08/2007 11:34:01

C:\WINDOWS\System32\wpa.dbl -->7/08/2007 8:55:05

C:\WINDOWS\System32\zyiqcgq_nav.dat -->3/08/2007 21:08:43

C:\WINDOWS\System32\zyiqcgq.exe -->3/08/2007 21:03:35

C:\WINDOWS\System32\skpvlhcp_navps.dat -->3/08/2007 20:47:41

C:\WINDOWS\System32\skpvlhcp.dat -->3/08/2007 20:47:18

C:\WINDOWS\System32\skpvlhcp.exe -->28/07/2007 15:55:12

C:\WINDOWS\System32\ForceDeletion.bat -->26/07/2007 4:07:18

C:\WINDOWS\System32\nvs2.inf -->24/07/2007 20:20:29

C:\WINDOWS\System32\PerfStringBackup.INI -->10/07/2007 22:38:43

C:\WINDOWS\System32\perfh00C.dat -->10/07/2007 22:38:43

C:\WINDOWS\System32\perfh009.dat -->10/07/2007 22:38:43

C:\WINDOWS\System32\perfc00C.dat -->10/07/2007 22:38:43

C:\WINDOWS\System32\perfc009.dat -->10/07/2007 22:38:43

C:\WINDOWS\System32\inferno3.exe -->1/07/2007 18:07:32

C:\WINDOWS\System32\MRT.exe -->28/06/2007 9:57:27

C:\WINDOWS\System32\inetcomm.dll -->16/05/2007 17:13:53

C:\WINDOWS\System32\mshtml.dll -->4/05/2007 14:36:14

C:\WINDOWS\System32\schannel.dll -->25/04/2007 16:22:35

C:\WINDOWS\System32\DVCState-{00000002-00000000-00000008-00001102-00000004-20021102}.rfx -->23/04/2007 6:24:21

C:\WINDOWS\System32\BMXStateBkp-{00000002-00000000-00000008-00001102-00000004-20021102}.rfx -->23/04/2007 6:24:21

C:\WINDOWS\System32\BMXState-{00000002-00000000-00000008-00001102-00000004-20021102}.rfx -->23/04/2007 6:24:21

C:\WINDOWS\System32\BMXCtrlState-{00000002-00000000-00000008-00001102-00000004-20021102}.rfx -->23/04/2007 6:24:21

C:\WINDOWS\System32\BMXBkpCtrlState-{00000002-00000000-00000008-00001102-00000004-20021102}.rfx -->23/04/2007 6:24:21

 

C:\WINDOWS\pack.epk -->7/08/2007 11:08:16

C:\WINDOWS\WindowsUpdate.log -->7/08/2007 8:56:24

C:\WINDOWS.log -->7/08/2007 8:54:50

C:\WINDOWS\wiadebug.log -->7/08/2007 8:54:49

C:\WINDOWS\wiaservc.log -->7/08/2007 8:54:45

C:\WINDOWS\bootstat.dat -->7/08/2007 8:54:31

C:\WINDOWS\SchedLgU.Txt -->6/08/2007 21:01:11

C:\WINDOWS\win.ini -->3/08/2007 21:03:18

C:\WINDOWS\system.ini -->3/08/2007 21:03:18

C:\WINDOWS\{00000002-00000000-00000008-00001102-00000004-20021102}.CDF -->23/04/2007 6:24:04

C:\WINDOWS\ODBC.INI -->10/01/2007 17:59:15

C:\WINDOWS\MTB13.INI -->9/11/2006 18:16:07

C:\WINDOWS\HPGdiPlus.ini -->28/09/2006 20:12:55

C:\WINDOWS\HP_RedboxHprblog_HPSU.ini -->28/09/2006 20:11:51

C:\WINDOWS\hpoins07.dat -->26/09/2006 14:10:42

 

 

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\WINDOWS\system32

 

20/08/2004 01:09 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 97.970.348.032 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

26/02/2007 20:40 <REP> .

26/02/2007 20:40 <REP> ..

18/03/2005 22:26 65 desktop.ini

10/11/2005 23:05 876 jinstall-1_5_0_06.inf

02/08/2005 16:48 495 LegitCheckControl.inf

30/05/2003 00:00 160.864 messengerstatsclient.dll

30/05/2003 00:00 84.064 minesweeper.dll

30/05/2003 00:00 77.408 msgrchkr.dll

30/05/2003 00:00 86.112 solitaireshowdown.dll

09/11/2006 15:36 5.019 swflash.inf

8 fichier(s) 414.903 octets

 

Total des fichiers listés :

8 fichier(s) 414.903 octets

2 Rép(s) 97.970.343.936 octets libres

 

Recherche de rootkit! (Merci S!Ri)

infection possible Magic.Control : un scan F-Secure BlackLight est recommandé

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp"="C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp:*:Enabled:KazaaLite"

"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Program Files\\DAP\\DAP.exe"="C:\\Program Files\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus"

"C:\\unzipped\\irthlaunch\\IrthLaunch.exe"="C:\\unzipped\\irthlaunch\\IrthLaunch.exe:*:Enabled:Irth Launch Application"

"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"="C:\\Program Files\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"

"C:\\Jeux\\Sacred\\Sacred.exe"="C:\\Jeux\\Sacred\\Sacred.exe:*:Enabled:Sacred"

"C:\\Jeux\\Etherlords II\\Etherlords2.exe"="C:\\Jeux\\Etherlords II\\Etherlords2.exe:*:Enabled:Etherlords 2 main executable file"

"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"

"C:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"="C:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe:*:Enabled:HP Software Update Client"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"

"\\\\MEDION\\BACKUP - MEDION (D)\\eMule\\emule.exe"="\\\\MEDION\\BACKUP - MEDION (D)\\eMule\\emule.exe:*:Enabled:emule.exe"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\WINSOS\\winsos.exe"="C:\\Program Files\\WINSOS\\winsos.exe:*:Enabled:Winsos"

"C:\\Program Files\\WINSOS\\anti-spy.exe"="C:\\Program Files\\WINSOS\\anti-spy.exe:*:Enabled:anti-spy Winsos"

"C:\\Program Files\\WINSOS\\help.exe"="C:\\Program Files\\WINSOS\\help.exe:*:Enabled:Winsos Help"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-07 11:34:36

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"zyiqcgq"="c:\windows\system32\zyiqcgq.exe zyiqcgq"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:00000062

 

scanning hidden files ...

 

C:\WINDOWS\system32\zyiqcgq.dat

C:\WINDOWS\system32\zyiqcgq.exe

C:\WINDOWS\system32\zyiqcgq_nav.dat

C:\WINDOWS\system32\zyiqcgq_navps.dat

 

scan completed successfully

hidden files: 4

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

620 - csrss.exe

664 - winlogon.exe

708 - services.exe

720 - lsass.exe

900 - svchost.exe

972 - svchost.exe

1040 - iexplore.exe

1068 - svchost.exe

1300 - svchost.exe

1412 - HPZipm12.exe

1552 - explorer.exe

1600 - Rtvscan.exe

1956 - VPTray.exe

1964 - zyiqcgq.exe

1972 - msnmsgr.exe

2004 - GoogleToolbarNo

2516 - cmd.exe

2552 - alg.exe

3680 - usnsvc.exe

 

Total number of processes = 20

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F7BA1000 - \WINDOWS\system32\KDCOM.DLL

F7AB1000 - \WINDOWS\system32\BOOTVID.dll

F7651000 - ACPI.sys

F7BA3000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F7640000 - pci.sys

F76A1000 - isapnp.sys

F76B1000 - ohci1394.sys

F76C1000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

F7C69000 - pciide.sys

F7921000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F76D1000 - MountMgr.sys

F7621000 - ftdisk.sys

F7929000 - PartMgr.sys

F76E1000 - VolSnap.sys

F7609000 - atapi.sys

F76F1000 - disk.sys

F7701000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F75E9000 - fltmgr.sys

F75D7000 - sr.sys

F7711000 - PxHelp20.sys

F75C0000 - KSecDD.sys

F7533000 - Ntfs.sys

F7506000 - NDIS.sys

F7BA5000 - sfhlp01.sys

F7BA7000 - prosync1.sys

F74EE000 - \WINDOWS\System32\drivers\SCSIPORT.SYS

F7721000 - prohlp02.sys

F74D3000 - Mup.sys

F7731000 - agp440.sys

F7761000 - \SystemRoot\System32\DRIVERS\intelppm.sys

F6D7C000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F6D68000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F79A1000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F6D45000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F79A9000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F6BF1000 - \SystemRoot\system32\drivers\P17.sys

F6BCD000 - \SystemRoot\system32\drivers\portcls.sys

F77A1000 - \SystemRoot\system32\drivers\drmk.sys

F6BAA000 - \SystemRoot\system32\drivers\ks.sys

F6B7A000 - \SystemRoot\system32\drivers\ctoss2k.sys

F6AF1000 - \SystemRoot\System32\drivers\ctsfm2k.sys

F6AC5000 - \SystemRoot\system32\DRIVERS\e1000325.sys

F79B1000 - \SystemRoot\System32\DRIVERS\fdc.sys

F77B1000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F79B9000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F6AB4000 - \SystemRoot\System32\DRIVERS\serial.sys

F7B69000 - \SystemRoot\System32\DRIVERS\serenum.sys

F6AA0000 - \SystemRoot\System32\DRIVERS\parport.sys

F77C1000 - \SystemRoot\System32\DRIVERS\imapi.sys

F6F05000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F6EF5000 - \SystemRoot\System32\DRIVERS\redbook.sys

F7CDE000 - \SystemRoot\System32\DRIVERS\audstub.sys

F6E75000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F7B85000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F6649000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F77D1000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F77E1000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F79C9000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F6638000 - \SystemRoot\System32\DRIVERS\psched.sys

F77F1000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F79D1000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F79D9000 - \SystemRoot\System32\DRIVERS\raspti.sys

F7801000 - \SystemRoot\System32\DRIVERS\termdd.sys

F79E1000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F7BE9000 - \SystemRoot\System32\DRIVERS\swenum.sys

F65DF000 - \SystemRoot\System32\DRIVERS\update.sys

F7B91000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F7831000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7841000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F7BED000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F79E9000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

BAF60000 - \??\C:\Program Files\Symantec AntiVirus\savrt.sys

BAF3E000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS

BAF2A000 - \??\C:\Program Files\Symantec AntiVirus\Savrtpel.sys

F79F1000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F7B31000 - \SystemRoot\System32\DRIVERS\hidusb.sys

F78A1000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

F79F9000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

F78B1000 - \SystemRoot\system32\drivers\lvusbsta.sys

BAD03000 - \SystemRoot\system32\DRIVERS\LVCM.sys

BAAE8000 - \SystemRoot\system32\DRIVERS\lvsvf2.sys

F78C1000 - \SystemRoot\system32\DRIVERS\STREAM.SYS

F78D1000 - \SystemRoot\system32\drivers\usbaudio.sys

F7B5D000 - \SystemRoot\System32\DRIVERS\mouhid.sys

BA9FD000 - \??\C:\WINDOWS\system32\drivers\SSHDRV85.sys

F7C17000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7CFC000 - \SystemRoot\System32\Drivers\Null.SYS

F7C19000 - \SystemRoot\System32\Drivers\Beep.SYS

F7A31000 - \SystemRoot\System32\drivers\vga.sys

F7C25000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7C29000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7A71000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7A79000 - \SystemRoot\System32\Drivers\Npfs.SYS

BAFF8000 - \SystemRoot\System32\DRIVERS\rasacd.sys

BA9A2000 - \SystemRoot\System32\DRIVERS\ipsec.sys

BA94A000 - \SystemRoot\System32\DRIVERS\tcpip.sys

BA90F000 - \SystemRoot\System32\Drivers\SYMTDI.SYS

BA8E7000 - \SystemRoot\System32\DRIVERS\netbt.sys

BA8C5000 - \SystemRoot\System32\drivers\afd.sys

F7911000 - \SystemRoot\System32\DRIVERS\netbios.sys

BA8A4000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F7751000 - \SystemRoot\System32\DRIVERS\wanarp.sys

BA879000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F7791000 - \SystemRoot\System32\drivers\prodrv06.sys

F749E000 - \SystemRoot\SYSTEM32\DRIVERS\OMCI.SYS

BA80A000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F6EE5000 - \SystemRoot\System32\Drivers\Fips.SYS

BA7A8000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys

BA78B000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

F6E95000 - \SystemRoot\System32\Drivers\Cdfs.SYS

BA74B000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7BD9000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F7B7D000 - \SystemRoot\System32\drivers\Dxapi.sys

F7959000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7D21000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA10000 - \SystemRoot\System32\ati2cqag.dll

BFA40000 - \SystemRoot\System32\atikvmag.dll

BFA71000 - \SystemRoot\System32\ati3duag.dll

BFC92000 - \SystemRoot\System32\ativvaxx.dll

B84C5000 - \SystemRoot\System32\DRIVERS\atmuni.sys

B8647000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

B872B000 - \SystemRoot\System32\DRIVERS\rawwan.sys

B8140000 - \SystemRoot\system32\drivers\wdmaud.sys

B8355000 - \SystemRoot\system32\drivers\sysaudio.sys

B80CF000 - \SystemRoot\System32\Drivers\Fastfat.SYS

B7E42000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F7C31000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B7D78000 - \SystemRoot\System32\DRIVERS\srv.sys

B78AF000 - \SystemRoot\System32\Drivers\HTTP.sys

B76A8000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070806.009\navex15.sys

B7695000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070806.009\naveng.sys

B72F7000 - \SystemRoot\system32\drivers\kmixer.sys

F7DBF000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 138

 

Liste des programmes installes

 

1400

1400_Help

1400Trb

Adobe Acrobat 5.0

Adobe Download Manager 2.0 (Supprimer uniquement)

Adobe Flash Player 9 ActiveX

Adobe Reader 7.0.5

AIDA32 v3.93

AiO_Scan

AiOSoftware

ATI - Utilitaire de désinstallation du logiciel

ATI Display Driver

BufferChm

CCleaner (remove only)

Correctif Lecteur Windows Media 9 [Voir KB885492 pour plus d'informations]

Correctif Windows XP - KB867282

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB890923

Correctif Windows XP - KB891781

Correctif Windows XP - KB893066

Correctif Windows XP - KB893086

CP_AtenaShokunin1Config

CP_CalendarTemplates1

CP_Package_Basic1

CP_Package_Variety1

CP_Package_Variety2

CP_Package_Variety3

CP_Panorama1Config

Creative MediaSource 5

Creative Software AutoUpdate

CueTour

CustomerResearchQFolder

Dark Age of Camelot

Dark Age of Camelot - Catacombs

Dark Age of Camelot - Shrouded Isles

Dark Age of Camelot - Trial of Atlantis

Dark Age of Camelot: Darkness Rising

Destinations

DeviceFunctionQFolder

DeviceManagementQFolder

DocProc

DocumentViewer

DocumentViewerQFolder

eSupportQFolder

Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP

Fax

FullDPAppQFolder

GdiplusUpgrade

Google Toolbar for Internet Explorer

HijackThis 2.0.2

Hotfix for Windows Media Format SDK (KB902344)

HP Document Viewer 5.3

HP Extended Capabilities 5.3

HP Image Zone 5.3

HP Image Zone Express

HP Imaging Device Functions 5.3

HP PSC & OfficeJet 5.3.B

HP Software Update

HP Solution Center & Imaging Support Tools 5.3

HPProductAssistant

InstantShareDevices

Intel® PRO Network Connections Drivers

J2SE Runtime Environment 5.0 Update 6

Lecteur Windows Media 10

LiveUpdate 2.6 (Symantec Corporation)

Logiciel QuickCam de Logitech

MarketResearch

Messenger Plus! Live & Sponsor (CiD)

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0

Microsoft Office 2000 Premium

Microsoft Office 2000 Professional

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB896688)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899588)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB905915)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922760)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925454)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928090)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB929969)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931768)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933566)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB896727)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB900930)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB929338)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB936357)

Mozilla Firefox (2.0.0.6)

MSXML 4.0 SP2 (KB927978)

NewCopy

PanoStandAlone

PhotoGallery

ProductContext

Programme de gestion Camera de Logitech®

RandMap

Readme

Scan

ScannerCopy

Seagate Crystal Reports for ESRI

Security Update for CAPICOM (KB931906)

Security Update for CAPICOM (KB931906)

Security Update pour Microsoft .NET Framework 2.0 (KB928365)

SkinsHP1

SolutionCenter

Sonic_PrimoSDK

Sound Blaster Audigy

Spybot - Search & Destroy 1.4

Spyware-Secure

Status

SudoPlanet

Symantec AntiVirus

TeamSpeak 2 RC2

TrayApp

Unload

WebFldrs XP

WebReg

Winamp (remove only)

Windows Genuine Advantage Notifications (KB905474)

Windows Genuine Advantage v1.3.0254.0

Windows Installer 3.1 (KB893803)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Live Toolbar

Windows Live Toolbar

Windows Media Format Runtime

Windows Media Format SDK Hotfix - KB891122

Windows XP Service Pack 2

WinZip

 

 

 

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\Program Files

 

07/08/2007 11:13 <REP> .

07/08/2007 11:13 <REP> ..

23/11/2005 13:56 <REP> Adobe

30/03/2005 18:52 <REP> AGFAnet

18/03/2005 23:12 <REP> AIDA32 - Enterprise System Information

18/09/2005 13:29 <REP> ATI Technologies

20/10/2003 00:53 <REP> CCleaner

18/03/2005 22:24 <REP> ComPlus Applications

20/10/2003 00:11 <REP> Creative

09/11/2006 18:15 <REP> DAOC Spellcraft Calculator

09/11/2006 18:15 <REP> DivX

20/10/2003 00:07 <REP> Fichiers communs

07/02/2007 12:43 <REP> Google

03/08/2007 20:29 <REP> Grisoft

09/02/2006 18:18 <REP> Hewlett-Packard

24/11/2005 00:24 <REP> HighMAT CD Writing Wizard

10/02/2006 21:10 <REP> HP

30/10/2005 11:48 <REP> Intel Desktop Board

17/06/2007 18:00 <REP> Internet Explorer

13/04/2006 20:14 <REP> Java

23/09/2006 10:00 <REP> Logitech

28/05/2007 21:06 <REP> Macrogaming

20/10/2003 01:09 <REP> Messenger Plus! Live

12/05/2007 22:33 <REP> Microsoft CAPICOM 2.1.0.2

01/10/2006 12:21 <REP> microsoft frontpage

19/03/2005 01:09 <REP> Microsoft Office

19/03/2005 01:10 <REP> Microsoft Visual Studio

19/03/2005 00:34 <REP> Movie Maker

20/10/2003 01:00 <REP> Mozilla Firefox

20/03/2005 11:20 <REP> MSN

18/03/2005 22:24 <REP> MSN Gaming Zone

20/10/2003 01:09 <REP> MSN Messenger

19/11/2006 22:12 <REP> MSXML 4.0

09/11/2006 18:16 <REP> MTBWIN

06/05/2005 18:56 <REP> MyPhotosNow

19/03/2005 00:31 <REP> NetMeeting

14/06/2005 15:20 <REP> OSTC

17/06/2007 18:00 <REP> Outlook Express

04/11/2005 14:53 <REP> Seagate Crystal Reports

14/05/2005 13:10 <REP> Seagate Software

18/03/2005 22:24 <REP> Services en ligne

30/07/2007 22:28 <REP> Spybot - Search & Destroy

05/08/2007 12:53 <REP> Spyware-Secure

18/03/2005 23:24 <REP> Stardock

24/07/2007 20:20 <REP> SudoPlanet

23/09/2006 10:00 <REP> Symantec

07/08/2007 08:55 <REP> Symantec AntiVirus

10/05/2007 19:14 <REP> Teamspeak2_RC2

18/03/2005 23:18 <REP> ToniArts

07/08/2007 11:13 <REP> Trend Micro

24/09/2006 09:07 <REP> Winamp

20/10/2003 01:09 <REP> Windows Live

06/06/2007 15:00 <REP> Windows Live Toolbar

20/10/2003 00:07 <REP> Windows Media Player

19/03/2005 00:31 <REP> Windows NT

18/03/2005 23:27 <REP> WinZip

18/03/2005 22:36 <REP> xerox

05/04/2005 20:05 <REP> Yahoo!

0 fichier(s) 0 octets

58 Rép(s) 97.969.700.864 octets libres

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\Program Files\fichiers communs

 

20/10/2003 00:07 <REP> .

20/10/2003 00:07 <REP> ..

19/11/2005 11:01 <REP> Adobe

20/10/2003 00:07 <REP> Creative

10/01/2007 17:58 <REP> Designer

05/09/2005 14:32 <REP> DirectX

04/11/2005 15:02 <REP> ESRI

09/02/2006 18:16 <REP> Hewlett-Packard

26/09/2006 14:07 <REP> HP

18/03/2005 23:18 <REP> InstallShield

13/04/2006 20:12 <REP> Java

11/03/2006 13:11 <REP> Logitech

20/10/2003 08:57 <REP> Microsoft Shared

18/03/2005 22:25 <REP> MSSoap

18/03/2005 22:19 <REP> ODBC

18/03/2005 22:25 <REP> Services

26/09/2006 14:08 <REP> Sonic Shared

18/03/2005 22:19 <REP> SpeechEngines

23/09/2006 16:51 <REP> Symantec Shared

17/06/2007 18:00 <REP> System

0 fichier(s) 0 octets

20 Rép(s) 97.969.700.864 octets libres

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

10/01/2007 17:58 <REP> .

10/01/2007 17:58 <REP> ..

18/05/2001 18:57 561.209 MSONSEXT.DLL

03/06/1999 15:09 122.937 MSOWS409.DLL

07/03/2001 10:00 127.033 MSOWS40c.DLL

18/03/1999 06:37 593.977 RAGENT.DLL

4 fichier(s) 1.405.156 octets

2 Rép(s) 97.969.700.864 octets libres

Le volume dans le lecteur C s'appelle DELL

Le numéro de série du volume est 20A6-E217

 

Répertoire de C:\

 

12/05/2007 18:22 68.096 diff.exe

12/05/2007 18:22 103.424 grep.exe

2 fichier(s) 171.520 octets

0 Rép(s) 97.969.700.864 octets libres

c:\Documents and Settings\Nicos1\Application Data\U3\temp\cleanup.exe

c:\Documents and Settings\Nicos1\Bureau\HJTInstall.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Nicos1\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Nicos1\Local Settings\Temporary Internet Files\Content.IE5\FD1R5ZA6\ATF-Cleaner[1].exe

c:\Documents and Settings\Nicos1\Mes documents\Calcul d'emprunt.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\Nicos1\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Nicos1\Application Data\Mozilla\Firefox\Profiles\1l7szbje.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll

c:\Documents and Settings\Nicos1\Application Data\Mozilla\Firefox\Profiles\1l7szbje.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll

 

****** Fin du rapport DiagHelp

Modifié le 7 août 2007 par Florica

[WawaSeb]

Re-

 

*** Ton système est infecté par NaviPromo et peut-être par LOP !!! ***

 

MEDION (D)\\eMule\\emule.exe

C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp

--> Les logiciels de p2p (eMule, ...) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

 

1) Télécharge Navilog1.zip de IL-MAFIOSO

• Enregistre-le sur ton bureau
  
• Clique-droit sur navilog1.zip et sélectionne "Extraire tout"
  
• Dans le dossier qui vient de se créer, exécute navilog1.exe
  
• Après l'installation, le fix se lance normalement (sinon, clique sur Navilog1 pour démarrer manuellement)
  
• Choisis l'option 1 (PAS les autres !!!!)
  
• Attends jusqu'à l'apparition du message *** Analyse Terminée le ..... ***
  
• Presse une touche pour faire apparaître le rapport
  
• Copie-colle tout ce rapport dans ta prochaine réponse
  
• Ferme le bloc-note (le rapport est enregistré à l'emplacement <RACINE>\fixnavi.txt)
  

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com <-- De nombreux experts recommandent de désinstaller ce produit peu utile !

 

 

3) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle Sudoplanet --> C'est le RESPONSABLE DE TON INFECTION !!!!
  
• Désinstalle Spyware-Secure--> C'est un rogue, un faux utilitaire de sécurité !!!!
  

 

4) Crée un nouveau document texte

 

° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "tasks.bat"

 

! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS !

 

---> Ton icône doit ressembler à ceci :

 

---> Exécute alors "tasks.bat" en double-cliquant dessus...

 

@echo off

echo.

echo.

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

echo. >rapport.txt

echo.

echo par WawaSeb

echo.>>rapport.txt

echo.

echo.

echo Appuie sur une touche pour continuer...

pause > nul

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme >>rapport.txt

echo.>>rapport.txt

echo %time% >>rapport.txt

echo %date% >>rapport.txt

echo.>>rapport.txt

schtasks >>rapport.txt

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler" >>rapport.txt

echo.

echo.

echo.

echo Appuie sur une touche pour afficher le rapport que tu vas poster sur Zebulon...

pause>NUL

 

rapport.txt

del rapport.txt

del tasks.bat

 

---> Poste le rapport qui sera généré !

 

---> J'attends donc le rapport de Navilog1 (merci IL-MAFIOSO !) pour passer au nettoyage de cette $^ùµ# de rootkit et le rapport de tasks.bat !

 

 

Bon travail Florica !!

[Florica]

Search Navipromo version 2.0.6 commencé le mar. 07/08/2007 à 17:09:04,54

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 06.08.2007 a 20h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

SudoPlanet

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\SudoPlanet trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Nicos1\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\zyiqcgq.dat

C:\windows\system32\zyiqcgq.exe

c:\WINDOWS\system32\zyiqcgq_nav.dat

c:\WINDOWS\system32\zyiqcgq_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\zyiqcgq.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-682003330-1078081533-725345543-1004\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\skpvlhcp.dat trouvé !

C:\WINDOWS\system32\zyiqcgq.dat trouvé !

**

C:\WINDOWS\system32\skpvlhcp.dat trouvé !

C:\WINDOWS\system32\zyiqcgq.dat trouvé !

***

****

C:\WINDOWS\system32\skpvlhcp_navps.dat trouvé !

C:\WINDOWS\system32\zyiqcgq_navps.dat trouvé !

*****

C:\WINDOWS\system32\skpvlhcp_nav.dat trouvé !

C:\WINDOWS\system32\zyiqcgq_nav.dat trouvé !

******

*******

********

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés - Malware Packer :

 

C:\WINDOWS\system32\skpvlhcp.exe trouvé !

C:\WINDOWS\system32\zyiqcgq.exe trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

*** Analyse Terminé le mar. 07/08/2007 à 17:15:07,00 ***

[eclypse]

Salut,

 

1°) Redemarre en mode sans Echec (Tape F8 au demarrage)

2°) Relance navilog et utilise le choix 2

3°) Ton ordi redemarrera sa sera plus ou moins long

4°) Poste le rapport

 

Amicalement

 

Eclypse

Modifié le 7 août 2007 par eclypse

[Gof]

L'option 2 de Navilog1 s'effectue en mode normal, pas en sans échec !

[WawaSeb]

Bonsoir Florica, eclypse, salut Gof !

 

*** On avance bien ! ***

 

eclypse > Gof a raison, il faut exécuter Navilog1 en mode normal pour l'option de désinfection...

 

Gof > Merci pour ton intervention !

 

Florica,

 

1) Double-clique sur navilog1.bat !

• Presse une touche lorsque le programme t'affiche "Appuyez sur une touche pour continuer..."
  
• Choisis maintenant l'option 2 (Désinfection automatique)
  
• Poste le rapport cleanavi.txt créé sur ton bureau en fin de procédure...
  

 

2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bonne suite de travail à toi !

[Florica]

V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

 

13:10:18,84

mer. 08/08/2007

 

 

TaskName Next Run Time Status

==================================== ======================== ===============

V‚rifier les mises … jour de Windows 13:24:00, 8/08/2007

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Pré-chargeur Browseui

{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Démon de cache des catégories de composant