virus recu par courriel et bloquait accès au web

[renoracing]

Bonjour

 

LE Pc de ma mère sur Windows Xp c'est mis à ralentir et a refuser l'accès au web. J'ai suivi votre démarche de pré-nettoyage mais la je me suis perdu un peu avec l'application autoruns et je crois que j'ai fais une gaffe. Le Pc boot et ouvre une fentre de session windows(ce que je n'avais pas avant) et tombe dans un cycle de redémarrage du PC. J'ai vraiment tout foutu l'affaire.

 

Aidez-moi quelqu'un

 

MERCI

 

RENORACING

[Gof]

Bonjour renoracing

 

Tu as suivi j'imagine le tuto de désinfection en solo avec Autoruns. Il est pour utilisateur averti celui la. La pré-procédure de nettoyage est ce tuto là.

 

Que se passe-t-il exactement alors ? Tu n'as pas été très clair ? As tu accès à une session ? En mode normal ? En mode sans échec ?

[renoracing]

Bonjour,

Non en faite je n'ai pas de session qui s'ouvre ni en mode sans echec ni en mode normale. Il y a une fenêtre avec le nom de l'utilisateur, je clique sur Ok sans mettre de mot de passe, puis windows se charge et tout a coup ecrit fermeture de wnidows et e cycle recommence le PC redemarre....

 

 

MERCI

 

RENORACING

 

Bonjour renoracing

 

Tu as suivi j'imagine le tuto de désinfection en solo avec Autoruns. Il est pour utilisateur averti celui la. La pré-procédure de nettoyage est ce tuto là.

 

Que se passe-t-il exactement alors ? Tu n'as pas été très clair ? As tu accès à une session ? En mode normal ? En mode sans échec ?

[Gof]

Houla.

 

En mode sans échec, en plus de ta session habituelle, tu as une session Administrateur de disponible. Est ce que celle-ci ne fonctionne pas non plus ?

 

As tu un cd de windows ?

[renoracing]

Je n'ai pas le choix entre la session administrateur ou celle de l'utilisateur. Tous ce que je vois c'est une fenetre avec le nom de l'utilisateur et un champ pour inscrire le mot de passe. C'est identique en mode normal. Oui j'ai le CD genuine de Windows.

 

MERCI

 

RENORACING

[renoracing]

Ok j'ai fait une réparation avec l'aide du CD de windows. Je suis dans une session Windows, mais pas de connection internet disponible. Il semble que le virus fait encore des siennes.

 

MERCI

[Gof]

Bonjour renoracing

 

Je suis heureux que tu ais pu résoudre ton souci avec une réparation, bien que je ne comprenne pas ce qui s'est passé. Je ne trouve pas cohérent les symtpômes annoncés.

 

Si cela avait été une altération du boot, tu n'aurais pas pu je pense accéder au panneau du choix de session et de l'invite à saisir le mot de passe. Si le mot de passe n'était pas le bon saisi, il n'y a pas de raisons que le pc redémarre du premier coup, il doit normalement rester sur l'invite de saisie du mot de passe et de session.

 

Je pensais t'indiquer un tuto de restauration à une date antérieure à ton souci, et ensuite envisager la réparation. Mais tu as eu une bonne initiative si cela a fonctionné. Il faudra certainement par la suite refaire une mise à jour importante de ton système. Pour l'instant c'est à éviter, comme nous ne savons pas si ton pc est encore infecté ou pas.

 

Puisque ton pc n'a pas d'accès internet, je vais te demander par copier-coller des outils sur un support amovible de me communiquer divers rapports sur ce pc. Pour commencer, génère un rapport HijackThis.

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Poste le rapport généré sur le forum.
  

[renoracing]

Voici le rapport hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 01:10:32, on 2007-09-01

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\svchost.exe

D:\Program Files\RealVNC\VNC4\WinVNC4.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\WINDOWS\system32\rundll32.exe

D:\Program Files\HIJACKTHIS\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1173396236421

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: AutorunsDisabled - D:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - Unknown owner - D:\WINDOWS\system32\HPZipm12.exe (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[Gof]

Re

 

Génère un rapport avec la version du HijackThis que je t'ai donné.

 

A cela, rajoute ceci :

 

Télécharge MsLook.exe, double-clique dessus. Presse une touche à la demande. Cela va travailler très rapidement et le bloc-notes va s'ouvrir, poste le contenu du bloc-notes dans ta prochaine réponse.

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

[renoracing]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:18:27, on 2007-09-01

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\svchost.exe

D:\Program Files\RealVNC\VNC4\WinVNC4.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1173396236421

O20 - Winlogon Notify: AutorunsDisabled - D:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Pml Driver HPZ12 - Unknown owner - D:\WINDOWS\system32\HPZipm12.exe (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - D:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 3019 bytes

 

 

MsLook.exe execute le : 2007-09-01 1:18:48,00

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

"path"="D:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\HP Digital Imaging Monitor.lnk"

"backup"="D:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"

"location"="Common Startup"

"command"="D:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "

"item"="HP Digital Imaging Monitor"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

"path"="D:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"

"backup"="D:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"

"location"="Common Startup"

"command"="D:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"

"item"="Microsoft Office"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Reader_sl"

"hkey"="HKLM"

"command"="\"D:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avast!]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ashDisp"

"hkey"="HKLM"

"command"="D:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CTFMON.EXE]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="CTFMON"

"hkey"="HKCU"

"command"="D:\\WINDOWS\\System32\\CTFMON.EXE"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DynDNS Updater]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="DynDNS"

"hkey"="HKCU"

"command"="\"D:\\Program Files\\DynDNS Updater\\DynDNS.exe\""

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HP Software Update]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="HPWuSchd2"

"hkey"="HKLM"

"command"="\"D:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe\""

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MsnMsgr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="MsnMsgr"

"hkey"="HKCU"

"command"="\"D:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SoundMan]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SOUNDMAN"

"hkey"="HKLM"

"command"="SOUNDMAN.EXE"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPAMfighter Agent]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SFAgent"

"hkey"="HKLM"

"command"="\"D:\\Program Files\\SPAMfighter\\SFAgent.exe\" update delay 60"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state]

"system.ini"=dword:00000000

"win.ini"=dword:00000000

"bootini"=dword:00000000

"services"=dword:00000000

"startup"=dword:00000001

 

 

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 2007-09-01 à 1:21:46,51

 

 

Liste des derniers fichies modifies/crees dans windir\system32

D:\WINDOWS\System32/drivers\aswmon.sys -->2007-07-27 18:02:49

D:\WINDOWS\System32/drivers\aswmon2.sys -->2007-07-27 18:02:34

D:\WINDOWS\System32/drivers\aswRdr.sys -->2007-07-27 18:00:39

D:\WINDOWS\System32/drivers\aswTdi.sys -->2007-07-27 17:59:57

D:\WINDOWS\System32/drivers\aavmker4.sys -->2007-07-27 17:58:36

D:\WINDOWS\System32/drivers\wpdusb.sys -->2006-10-18 20:00:00

D:\WINDOWS\System32/drivers\WudfRd.sys -->2006-09-28 19:00:34

 

D:\WINDOWS\System32\perfh00C.dat -->2007-09-01 00:12:29

D:\WINDOWS\System32\perfh009.dat -->2007-09-01 00:12:29

D:\WINDOWS\System32\perfc00C.dat -->2007-09-01 00:12:29

D:\WINDOWS\System32\perfc009.dat -->2007-09-01 00:12:29

D:\WINDOWS\System32\wmpscheme.xml -->2007-09-01 00:12:26

D:\WINDOWS\System32\PerfStringBackup.INI -->2007-09-01 00:12:26

D:\WINDOWS\System32\wpa.dbl -->2007-09-01 00:12:07

D:\WINDOWS\System32\FNTCACHE.DAT -->2007-09-01 00:08:46

D:\WINDOWS\System32\$winnt$.inf -->2007-09-01 00:07:27

D:\WINDOWS\System32\nscompat.tlb -->2007-09-01 00:03:22

D:\WINDOWS\System32\amcompat.tlb -->2007-09-01 00:03:22

D:\WINDOWS\System32\WindowsLogon.manifest -->2007-09-01 00:01:36

D:\WINDOWS\System32\logonui.exe.manifest -->2007-09-01 00:01:36

D:\WINDOWS\System32\wuaucpl.cpl.manifest -->2007-09-01 00:01:27

D:\WINDOWS\System32\sapi.cpl.manifest -->2007-09-01 00:01:27

D:\WINDOWS\System32\nwc.cpl.manifest -->2007-09-01 00:01:27

D:\WINDOWS\System32\ncpa.cpl.manifest -->2007-09-01 00:01:27

D:\WINDOWS\System32\cdplayer.exe.manifest -->2007-09-01 00:01:27

D:\WINDOWS\System32\emptyregdb.dat -->2007-09-01 00:00:05

D:\WINDOWS\System32\MRT.exe -->2007-08-03 00:34:10

D:\WINDOWS\System32\CONFIG.NT -->2007-07-30 15:56:21

D:\WINDOWS\System32\aswBoot.exe -->2007-07-27 18:07:21

D:\WINDOWS\System32\AVASTSS.scr -->2007-07-27 17:57:49

D:\WINDOWS\System32\FreeImage.dll -->2007-06-25 15:04:02

D:\WINDOWS\System32\extmgr.dll -->2007-06-14 14:10:02

 

D:\WINDOWS\WindowsUpdate.log -->2007-09-01 01:10:50

D:\WINDOWS.log -->2007-09-01 01:00:14

D:\WINDOWS\wiaservc.log -->2007-09-01 00:59:52

D:\WINDOWS\wiadebug.log -->2007-09-01 00:59:51

D:\WINDOWS\bootstat.dat -->2007-09-01 00:57:51

D:\WINDOWS\ntbtlog.txt -->2007-09-01 00:56:58

D:\WINDOWS\setupact.log -->2007-09-01 00:32:48

D:\WINDOWS\setupapi.log -->2007-09-01 00:30:47

D:\WINDOWS\COM+.log -->2007-09-01 00:27:23

D:\WINDOWS\SchedLgU.Txt -->2007-09-01 00:27:22

D:\WINDOWS\comsetup.log -->2007-09-01 00:12:33

D:\WINDOWS\setuplog.txt -->2007-09-01 00:12:04

D:\WINDOWS\tsoc.log -->2007-09-01 00:07:50

D:\WINDOWS\ntdtcsetup.log -->2007-09-01 00:07:50

D:\WINDOWS\imsins.log -->2007-09-01 00:07:50

 

 

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\WINDOWS\system32

 

2002-08-30 08:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 15 732 822 016 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\WINDOWS\Downloaded Program Files

 

2007-09-01 00:03 <REP> .

2007-09-01 00:03 <REP> ..

2004-12-07 17:07 32 bdcore.dll

2006-05-25 01:21 118 784 bdupd.dll

2007-08-29 20:07 <REP> CONFLICT.1

2007-08-29 20:31 <REP> CONFLICT.2

2007-08-29 21:23 <REP> CONFLICT.3

2007-08-29 21:50 <REP> CONFLICT.4

2007-09-01 00:01 65 desktop.ini

1997-10-14 18:52 697 DirectAnimation Java Classes.osd

2007-05-16 08:22 399 gp.inf

2006-05-25 01:21 53 248 ipsupd.dll

2005-03-16 12:34 7 407 lang.ini

2004-12-07 17:07 32 libfn.dll

2005-03-14 14:38 126 live.ini

2000-01-20 15:25 1 162 Microsoft XML Parser for Java.osd

2006-06-01 02:57 1 331 oscan8.inf

2006-06-01 02:54 471 040 oscan8.ocx

2006-05-31 04:15 10 oscan81.ocx_x

2005-03-14 14:58 7 073 scanoptions.tsi

2006-11-09 15:36 5 019 swflash.inf

2005-05-26 05:19 291 wuweb.inf

16 fichier(s) 666 716 octets

 

Répertoire de D:\WINDOWS\Downloaded Program Files\CONFLICT.1

 

2007-08-29 20:07 <REP> .

2007-08-29 20:07 <REP> ..

2004-12-07 17:07 32 bdcore.dll

2006-05-25 01:21 118 784 bdupd.dll

2006-05-25 01:21 53 248 ipsupd.dll

2005-03-16 12:34 7 407 lang.ini

2004-12-07 17:07 32 libfn.dll

2005-03-14 14:38 126 live.ini

2006-06-01 02:57 1 331 oscan8.inf

2006-06-01 02:54 471 040 oscan8.ocx

2006-05-31 04:15 10 oscan81.ocx_x

2005-03-14 14:58 7 073 scanoptions.tsi

10 fichier(s) 659 083 octets

 

Répertoire de D:\WINDOWS\Downloaded Program Files\CONFLICT.2

 

2007-08-29 20:31 <REP> .

2007-08-29 20:31 <REP> ..

2004-12-07 17:07 32 bdcore.dll

2006-05-25 01:21 118 784 bdupd.dll

2006-05-25 01:21 53 248 ipsupd.dll

2005-03-16 12:34 7 407 lang.ini

2004-12-07 17:07 32 libfn.dll

2005-03-14 14:38 126 live.ini

2006-06-01 02:57 1 331 oscan8.inf

2006-06-01 02:54 471 040 oscan8.ocx

2006-05-31 04:15 10 oscan81.ocx_x

2005-03-14 14:58 7 073 scanoptions.tsi

10 fichier(s) 659 083 octets

 

Répertoire de D:\WINDOWS\Downloaded Program Files\CONFLICT.3

 

2007-08-29 21:23 <REP> .

2007-08-29 21:23 <REP> ..

2004-12-07 17:07 32 bdcore.dll

2006-05-25 01:21 118 784 bdupd.dll

2006-05-25 01:21 53 248 ipsupd.dll

2005-03-16 12:34 7 407 lang.ini

2004-12-07 17:07 32 libfn.dll

2005-03-14 14:38 126 live.ini

2006-06-01 02:57 1 331 oscan8.inf

2006-06-01 02:54 471 040 oscan8.ocx

2006-05-31 04:15 10 oscan81.ocx_x

2005-03-14 14:58 7 073 scanoptions.tsi

10 fichier(s) 659 083 octets

 

Répertoire de D:\WINDOWS\Downloaded Program Files\CONFLICT.4

 

2007-08-29 21:50 <REP> .

2007-08-29 21:50 <REP> ..

2004-12-07 17:07 32 bdcore.dll

2006-05-25 01:21 118 784 bdupd.dll

2006-05-25 01:21 53 248 ipsupd.dll

2005-03-16 12:34 7 407 lang.ini

2004-12-07 17:07 32 libfn.dll

2005-03-14 14:38 126 live.ini

2006-06-01 02:57 1 331 oscan8.inf

2006-06-01 02:54 471 040 oscan8.ocx

2006-05-31 04:15 10 oscan81.ocx_x

2005-03-14 14:58 7 073 scanoptions.tsi

10 fichier(s) 659 083 octets

 

Total des fichiers listés :

56 fichier(s) 3 303 048 octets

14 Rép(s) 15 732 817 920 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-01 01:21:57

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

480 - csrss.exe

504 - winlogon.exe

548 - services.exe

560 - lsass.exe

564 - cmd.exe

796 - svchost.exe

836 - ashWebSv.exe

852 - svchost.exe

1236 - ashServ.exe

1320 - ashMaiSv.exe

1596 - alg.exe

1764 - explorer.exe

2016 - winvnc4.exe

 

Total number of processes = 14

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D4000 - \WINDOWS\system32\ntoskrnl.exe

806C8000 - \WINDOWS\system32\hal.dll

FA3AC000 - \WINDOWS\system32\KDCOM.DLL

FA2BC000 - \WINDOWS\system32\BOOTVID.dll

F9E5F000 - ACPI.sys

FA3AE000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F9EAC000 - pci.sys

F9EBC000 - isapnp.sys

FA3B0000 - viaide.sys

FA12C000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F9ECC000 - MountMgr.sys

F9E40000 - ftdisk.sys

FA134000 - PartMgr.sys

F9EDC000 - VolSnap.sys

F9E2A000 - atapi.sys

F9EEC000 - disk.sys

F9EFC000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F9E19000 - sr.sys

F9F0C000 - avgntmgr.sys

F9E05000 - KSecDD.sys

F9D7B000 - Ntfs.sys

F9D52000 - NDIS.sys

FA13C000 - viaagp.sys

F9D38000 - Mup.sys

F9F3C000 - \SystemRoot\System32\DRIVERS\amdk7.sys

F9CC7000 - \SystemRoot\System32\DRIVERS\s3gnbm.sys

F9CB5000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

FA164000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F9C93000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

FA174000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F9F4C000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

FA17C000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F9F5C000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F9F6C000 - \SystemRoot\System32\DRIVERS\redbook.sys

F9C72000 - \SystemRoot\System32\DRIVERS\ks.sys

F98A8000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F9887000 - \SystemRoot\system32\drivers\portcls.sys

F9F7C000 - \SystemRoot\system32\drivers\drmk.sys

FA194000 - \SystemRoot\System32\DRIVERS\RTL8139.SYS

FA1A4000 - \SystemRoot\System32\DRIVERS\fdc.sys

F9F8C000 - \SystemRoot\System32\DRIVERS\serial.sys

FA348000 - \SystemRoot\System32\DRIVERS\serenum.sys

F9874000 - \SystemRoot\System32\DRIVERS\parport.sys

FA350000 - \SystemRoot\System32\DRIVERS\gameenum.sys

FA522000 - \SystemRoot\system32\drivers\msmpu401.sys

FA525000 - \SystemRoot\System32\DRIVERS\audstub.sys

F9F9C000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

FA35C000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F985E000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F9FAC000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F9FBC000 - \SystemRoot\System32\DRIVERS\raspptp.sys

FA36C000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F984D000 - \SystemRoot\System32\DRIVERS\psched.sys

F9FCC000 - \SystemRoot\System32\DRIVERS\msgpc.sys

FA1B4000 - \SystemRoot\System32\DRIVERS\ptilink.sys

FA1C4000 - \SystemRoot\System32\DRIVERS\raspti.sys

F9FDC000 - \SystemRoot\System32\DRIVERS\termdd.sys

FA1D4000 - \SystemRoot\System32\DRIVERS\mouclass.sys

FA531000 - \SystemRoot\System32\DRIVERS\swenum.sys

F982B000 - \SystemRoot\System32\DRIVERS\update.sys

FA374000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F9FFC000 - \SystemRoot\System32\Drivers\NDProxy.SYS

FA00C000 - \SystemRoot\System32\DRIVERS\usbhub.sys

FA3C6000 - \SystemRoot\System32\DRIVERS\USBD.SYS

FA1F4000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

FA3CA000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

FA552000 - \SystemRoot\System32\Drivers\Null.SYS

FA3CE000 - \SystemRoot\System32\Drivers\Beep.SYS

FA214000 - \SystemRoot\System32\drivers\vga.sys

FA3D2000 - \SystemRoot\System32\Drivers\mnmdd.SYS

FA3D6000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

FA224000 - \SystemRoot\System32\Drivers\Msfs.SYS

F9D00000 - \SystemRoot\System32\DRIVERS\hidusb.sys

FA05C000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

FA234000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

FA244000 - \SystemRoot\System32\Drivers\Npfs.SYS

F9CF8000 - \SystemRoot\System32\DRIVERS\rasacd.sys

FA06C000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F7633000 - \SystemRoot\System32\DRIVERS\tcpip.sys

FA07C000 - \SystemRoot\System32\Drivers\aswTdi.SYS

FA08C000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F760C000 - \SystemRoot\System32\DRIVERS\netbt.sys

F75EB000 - \SystemRoot\System32\drivers\afd.sys

FA09C000 - \SystemRoot\System32\DRIVERS\netbios.sys

F7523000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F74BF000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

FA0BC000 - \SystemRoot\System32\Drivers\Fips.SYS

FA264000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

FA370000 - \SystemRoot\System32\DRIVERS\mouhid.sys

F981B000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F7473000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F745D000 - \SystemRoot\System32\Drivers\dump_atapi.sys

FA3E0000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F771B000 - \SystemRoot\System32\watchdog.sys

F7713000 - \SystemRoot\System32\drivers\Dxapi.sys

BFF80000 - \SystemRoot\System32\drivers\dxg.sys

FA4BF000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9BB000 - \SystemRoot\System32\s3gnb.dll

F2C50000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F2A4E000 - \SystemRoot\System32\Drivers\aswMon2.SYS

F28D3000 - \SystemRoot\system32\drivers\wdmaud.sys

F2A8C000 - \SystemRoot\system32\drivers\sysaudio.sys

F26DD000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

FA466000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F266E000 - \SystemRoot\System32\DRIVERS\HSF_FALL.sys

F2651000 - \SystemRoot\System32\DRIVERS\HSF_FSKS.sys

F25F1000 - \SystemRoot\System32\DRIVERS\HSF_K56K.sys

F29E6000 - \SystemRoot\System32\DRIVERS\mdmxsdk.sys

F2570000 - \SystemRoot\System32\DRIVERS\HSF_FAXX.sys

F255E000 - \SystemRoot\System32\DRIVERS\HSF_SPKP.sys

F2B0C000 - \SystemRoot\System32\DRIVERS\HSF_TONE.sys

F250D000 - \SystemRoot\System32\DRIVERS\srv.sys

F23CD000 - \SystemRoot\System32\DRIVERS\HSF_V124.sys

F2251000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F2199000 - \SystemRoot\System32\Drivers\aswRdr.SYS

F2009000 - \SystemRoot\system32\drivers\kmixer.sys

FA19C000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

FA5AA000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 119

 

Liste des programmes installes

 

1600

1600_Help

1600Trb

Adobe Flash Player 9 ActiveX

Adobe Reader 8.1.0 - Français

AiO_Scan

AiOSoftware

avast! Antivirus

BufferChm

Destinations

Director

DynDNS Updater 3.1

Fax

HijackThis 2.0.2

HP Image Zone 4.7

HP Image Zone Express

HP Product Assistant

HP PSC & OfficeJet 4.7

HP Software Update

HPSystemDiagnostics

Lecteur Windows Media 11

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office 2000 Premium

Microsoft User-Mode Driver Framework Feature Pack 1.0

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

ProductContext

QFolder

Readme

Realtek AC'97 Audio

Scan

ScannerCopy

SPAMfighter

SPAMfighter

Spybot - Search & Destroy 1.4

TrayApp

Unload

VNC Free Edition 4.1.2

WebFldrs XP

WebReg

Windows Genuine Advantage Notifications (KB905474)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

 

 

 

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\Program Files

 

2007-09-01 01:18 <REP> .

2007-09-01 01:18 <REP> ..

2007-07-22 13:35 <REP> Adobe

2007-03-14 09:19 <REP> Alwil Software

2007-09-01 01:10 <REP> AntiVir PersonalEdition Classic

2007-03-08 19:12 <REP> ComPlus Applications

2007-08-30 06:52 <REP> DynDNS Updater

2007-07-22 13:35 <REP> Fichiers communs

2007-03-15 19:15 <REP> Hewlett-Packard

2007-09-01 01:10 <REP> HIJACKTHIS

2007-03-15 19:16 <REP> HP

2007-09-01 00:00 <REP> Internet Explorer

2007-03-15 17:19 <REP> Messenger

2007-03-15 17:07 <REP> microsoft frontpage

2007-03-15 10:33 <REP> Microsoft Office

2007-09-01 00:00 <REP> Movie Maker

2007-03-15 16:56 <REP> MSN

2007-03-08 19:11 <REP> MSN Gaming Zone

2007-03-13 11:08 <REP> MSN Messenger

2007-03-15 17:21 <REP> MSXML 4.0

2007-09-01 00:00 <REP> NetMeeting

2007-09-01 00:00 <REP> Outlook Express

2007-03-09 07:52 <REP> Realtek AC97

2007-03-08 19:29 <REP> RealVNC

2007-03-08 19:13 <REP> Services en ligne

2007-06-27 13:43 <REP> SPAMfighter

2007-08-30 22:30 <REP> Spybot - Search & Destroy

2007-09-01 01:18 <REP> Trend Micro

2007-06-04 20:13 <REP> Windows Media Connect 2

2007-09-01 00:12 <REP> Windows Media Player

2007-08-31 23:58 <REP> Windows NT

2007-03-08 19:15 <REP> xerox

0 fichier(s) 0 octets

32 Rép(s) 15 734 099 968 octets libres

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\Program Files\fichiers communs

 

2007-07-22 13:35 <REP> .

2007-07-22 13:35 <REP> ..

2007-07-22 13:36 <REP> Adobe

2007-06-27 13:43 <REP> Ankiro

2007-06-27 13:42 <REP> Application

2007-03-15 17:09 <REP> Designer

2007-03-15 19:14 <REP> Hewlett-Packard

2007-03-15 19:16 <REP> HP

2007-03-09 07:51 <REP> InstallShield

2007-03-15 17:09 <REP> Microsoft Shared

2007-03-08 19:13 <REP> MSSoap

2007-03-08 13:01 <REP> ODBC

2007-03-08 19:13 <REP> Services

2007-03-08 13:01 <REP> SpeechEngines

2007-09-01 00:00 <REP> System

0 fichier(s) 0 octets

15 Rép(s) 15 734 099 968 octets libres

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

2007-03-15 17:09 <REP> .

2007-03-15 17:09 <REP> ..

2001-05-18 18:57 561 209 MSONSEXT.DLL

1999-06-03 15:09 122 937 MSOWS409.DLL

2001-03-07 10:00 127 033 MSOWS40c.DLL

1999-03-18 00:37 593 977 RAGENT.DLL

4 fichier(s) 1 405 156 octets

2 Rép(s) 15 734 099 968 octets libres

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est E8F7-C8F4

 

Répertoire de D:\

 

2007-05-12 18:22 68 096 diff.exe

2007-05-12 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 15 734 099 968 octets libres

 

****** Fin du rapport DiagHelp