au secours !!!!!!!

[scendys]

Grrrr...

Je rêve où tu as installé Antivir ?

 

UN SEUL ANTIVIRUS PAR ORDINATEUR

 

Tu désinstalles Antivir ou BitDefender

 

Relance HijackThis, coche ces lignes :

 

O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)

O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)

O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)

O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)

O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)

O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)

O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)

O2 - BHO: oembios32.msdn_hlp - {AB5FE6E5-7C72-4B89-85D0-D57E7AEAC236} - C:\WINDOWS\system32\oembios32.dll (file missing)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)

O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)

O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)

O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)

O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)

O4 - HKLM\..\Run: [lwduzgnu] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\lwduzgnu.dll"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\telech\emule.exe -AutoStart

 

--> clic sur fix checked

 

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

 

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

 

- Télécharge sur ton bureau DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

 

ATTENTION : pendant l'analyse, après le rapport catchme sur l'écran rouge, il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran !

 

- Lorsque l'analyse sera terminé... le bloc-note va s'ouvrir.

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Excuses mais j'ai installé anti vir car bitdefender arrive à expiration et ne me protège plus . Je pensais faire bien !!!!!!!!! mille excuses moi encore .

En ce qui concerne la désinstallation , je n'y ai plus accès il me manque des fichiers notamment rundll.exe donc je ne peux pas accéder à la désinstallation !!!!!!!

mea culpa encore et maintenant je vais suivre tes conseils à la lettre !!!!!

je vais de ce pas me mettre au travail !! promis et merci encore de m'aider

[scendys]

Excuses mais j'ai installé anti vir car bitdefender arrive à expiration et ne me protège plus . Je pensais faire bien !!!!!!!!! mille excuses moi encore .

En ce qui concerne la désinstallation , je n'y ai plus accès il me manque des fichiers notamment rundll.exe donc je ne peux pas accéder à la désinstallation !!!!!!!

mea culpa encore et maintenant je vais suivre tes conseils à la lettre !!!!!

je vais de ce pas me mettre au travail !! promis et merci encore de m'aider

Je suis en train de faire les manipulations que tu m'as demandé mais le problème c que je n'ai pas trouvé : C:\_OTMoveIt\MovedFiles même en faisant une recherche sur C: olala je vais devenir folle c atroce de ne pas m'en sortir !!!!!!! donc comment dois je faire pour te rendre le rapport ? ya t il un autre endroit où je puisse trouver le Moved files ?

[scendys]

Grrrr...

Je rêve où tu as installé Antivir ?

 

UN SEUL ANTIVIRUS PAR ORDINATEUR

 

Tu désinstalles Antivir ou BitDefender

 

Relance HijackThis, coche ces lignes :

 

O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)

O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)

O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)

O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)

O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)

O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)

O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)

O2 - BHO: oembios32.msdn_hlp - {AB5FE6E5-7C72-4B89-85D0-D57E7AEAC236} - C:\WINDOWS\system32\oembios32.dll (file missing)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)

O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)

O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)

O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)

O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)

O4 - HKLM\..\Run: [lwduzgnu] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\lwduzgnu.dll"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\telech\emule.exe -AutoStart

 

--> clic sur fix checked

 

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

 

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

 

- Télécharge sur ton bureau DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

 

ATTENTION : pendant l'analyse, après le rapport catchme sur l'écran rouge, il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran !

 

- Lorsque l'analyse sera terminé... le bloc-note va s'ouvrir.

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Voici le résultat de diagHelp.zip

DiagHelp version v1.2 - http://www.malekal.com

excute le 04/09/2007 à 19:42:47,15

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->04/09/2007 19:41:46

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->04/09/2007 19:41:46

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->04/09/2007 19:33:57

C:\WINDOWS\prefetch\FXSVR2.EXE-1602D64F.pf -->04/09/2007 19:33:14

C:\WINDOWS\prefetch\ALBUMDB2.EXE-06A212AC.pf -->04/09/2007 19:33:14

C:\WINDOWS\prefetch\HVIDEOS.EXE-2D7A50F6.pf -->04/09/2007 19:33:06

C:\WINDOWS\prefetch\GUARDGUI.EXE-1EE08CA2.pf -->04/09/2007 19:30:49

C:\WINDOWS\prefetch\BDNAGENT.EXE-2BBF9D00.pf -->04/09/2007 19:22:01

C:\WINDOWS\prefetch\BDMCON.EXE-0F04C4F1.pf -->04/09/2007 19:22:00

C:\WINDOWS\prefetch\UPGREPL.EXE-3220E7B2.pf -->04/09/2007 19:21:44

 

C:\WINDOWS\System32\drivers\x.gif -->02/09/2007 19:39:15

C:\WINDOWS\System32\drivers\win_logo.gif -->02/09/2007 19:39:10

C:\WINDOWS\System32\drivers\warning_icon.gif -->02/09/2007 19:39:05

C:\WINDOWS\System32\drivers\v.gif -->02/09/2007 19:39:00

C:\WINDOWS\System32\drivers\star_small.gif -->02/09/2007 19:38:55

C:\WINDOWS\System32\drivers\star_gray_small.gif -->02/09/2007 19:38:50

C:\WINDOWS\System32\drivers\star_gray.gif -->02/09/2007 19:38:45

 

C:\WINDOWS\System32\bdod.bin -->04/09/2007 19:41:59

C:\WINDOWS\System32\getfile.dat -->04/09/2007 19:21:17

C:\WINDOWS\System32\stfv.bin -->04/09/2007 10:06:13

C:\WINDOWS\System32\sznf.ascii -->04/09/2007 09:14:07

C:\WINDOWS\System32\gtv_sd.bin -->04/09/2007 09:14:07

C:\WINDOWS\System32\msole32.exe -->03/09/2007 20:47:52

C:\WINDOWS\System32\ace16win.dll -->03/09/2007 20:47:45

C:\WINDOWS\System32\wml.exe -->03/09/2007 20:47:42

C:\WINDOWS\System32\vxddsk.exe -->03/09/2007 20:47:42

C:\WINDOWS\System32\tmp.txt -->03/09/2007 17:58:14

C:\WINDOWS\System32\tmp.reg -->03/09/2007 17:58:14

C:\WINDOWS\System32\settings.aaw -->03/09/2007 08:56:21

C:\WINDOWS\System32\history.aaw -->03/09/2007 08:56:21

C:\WINDOWS\System32\d3d8caps.dat -->02/09/2007 23:34:29

C:\WINDOWS\System32\wpa.dbl -->02/09/2007 21:16:45

C:\WINDOWS\System32\ESHOPEE.exe -->02/09/2007 20:00:03

C:\WINDOWS\System32\fuamfu32.ini -->02/09/2007 19:33:54

C:\WINDOWS\System32\din.ip -->02/09/2007 19:33:54

C:\WINDOWS\System32\drvjigr.dll -->02/09/2007 19:33:35

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->02/09/2007 12:51:20

C:\WINDOWS\System32\x264vfw.dll -->23/08/2007 16:20:43

C:\WINDOWS\System32\FNTCACHE.DAT -->21/08/2007 17:35:06

C:\WINDOWS\System32\perfh00C.dat -->21/08/2007 17:25:25

C:\WINDOWS\System32\perfh009.dat -->21/08/2007 17:25:25

C:\WINDOWS\System32\perfc00C.dat -->21/08/2007 17:25:25

 

C:\WINDOWS\win.ini -->04/09/2007 19:21:17

C:\WINDOWS\WindowsUpdate.log -->04/09/2007 16:16:49

C:\WINDOWS\wiadebug.log -->04/09/2007 16:11:07

C:\WINDOWS\wiaservc.log -->04/09/2007 16:10:47

C:\WINDOWS.log -->04/09/2007 16:10:25

C:\WINDOWS\bootstat.dat -->04/09/2007 16:10:24

C:\WINDOWS\setupact.log -->04/09/2007 15:59:05

C:\WINDOWS\ntbtlog.txt -->04/09/2007 15:58:29

C:\WINDOWS\NeroDigital.ini -->04/09/2007 12:28:08

C:\WINDOWS\SchedLgU.Txt -->04/09/2007 10:26:00

C:\WINDOWS\default.htm -->04/09/2007 10:24:34

C:\WINDOWS\liqui.dll -->03/09/2007 20:47:52

C:\WINDOWS\xadbrk.exe -->03/09/2007 20:47:51

C:\WINDOWS\xadbrk.dll -->03/09/2007 20:47:51

C:\WINDOWS\liqui.exe -->03/09/2007 20:47:51

 

 

MD5 des fichiers sensibles

tcpip.sys 63fdfea54eb53de2d863ee454937ce1e

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\WINDOWS\system

 

27/11/2003 11:52 1 454 080 SmWizard.exe

10/09/1999 12:06 4 672 WOWPOST.EXE

2 fichier(s) 1 458 752 octets

0 Rép(s) 44 049 821 696 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 16:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 44 049 817 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\WINDOWS\system32

 

05/09/2003 16:59 1 323 008 dmcpl.exe

1 fichier(s) 1 323 008 octets

0 Rép(s) 44 049 817 600 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

10/08/2006 15:11 <REP> .

10/08/2006 15:11 <REP> ..

24/02/2006 16:46 45 056 Account.dll

24/02/2006 16:46 217 Account.inf

04/01/2005 23:26 65 desktop.ini

20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd

01/11/2004 22:56 595 OSD367.OSD

01/11/2004 22:55 672 832 ppctl.dll

27/08/2005 14:30 5 065 swflash.inf

03/08/2004 15:51 293 wuweb.inf

8 fichier(s) 725 285 octets

 

Total des fichiers listés :

8 fichier(s) 725 285 octets

2 Rép(s) 44 049 817 600 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Disabled:Skype"

"C:\\Program Files\\Mozilla Firefox\\plugins\\alhlp.exe"="C:\\Program Files\\Mozilla Firefox\\plugins\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE:*:Enabled:SAgent4"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

REGEDIT4

 

[taskmgr.exe]

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-04 19:43:12

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:ad,93,a6,9c,14,43,3a,4f,cd,5d,fc,d9,95,5d,ad,9f,75,92,b5,70,62,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,b5,a6,df,89,42,36,d6,10,7d,1d,62,5c,93,5d,88,4c,4b,..

"khjeh"=hex:f8,20,20,54,7a,c2,fc,ce,25,55,ee,53,87,f3,e2,22,1c,90,eb,f7,2f,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:1d,f8,e6,9b,53,36,8a,91,ac,32,62,01,9d,7d,29,e5,7a,bd,8f,9a,fa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:ad,93,a6,9c,14,43,3a,4f,cd,5d,fc,d9,95,5d,ad,9f,75,92,b5,70,62,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,b5,a6,df,89,42,36,d6,10,7d,1d,62,5c,93,5d,88,4c,4b,..

"khjeh"=hex:f8,20,20,54,7a,c2,fc,ce,25,55,ee,53,87,f3,e2,22,1c,90,eb,f7,2f,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:1d,f8,e6,9b,53,36,8a,91,ac,32,62,01,9d,7d,29,e5,7a,bd,8f,9a,fa,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

C:\WINDOWS\WindowsShell.Manifest

C:\WINDOWS\WindowsUpdate.log

C:\WINDOWS\winhelp.exe

C:\WINDOWS\winhlp32.exe

C:\WINDOWS\wininit.ini

C:\WINDOWS\winnt.bmp

C:\WINDOWS\winnt256.bmp

C:\WINDOWS\WinSxS

C:\WINDOWS\wml.exe

C:\WINDOWS\wmprfFRA.prx

C:\WINDOWS\WMSysPr9.prx

C:\WINDOWS\WMSysPrx.prx

C:\WINDOWS\WOL3854BF.txt

C:\WINDOWS\xadbrk.dll

C:\WINDOWS\xadbrk.exe

C:\WINDOWS\xadbrk_.exe

C:\WINDOWS\xxxvideo.exe

C:\WINDOWS\Zapotec.bmp

C:\WINDOWS\_default.pif

C:\WINDOWS\_delis32.ini

 

scan completed successfully

hidden files: 20

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

208 - avguard.exe

244 - sched.exe

312 - ADCDLicSvc.exe

392 - LwbWheel.exe

404 - KbdAp32A.exe

428 - bdoesrv.exe

468 - bdnagent.exe

516 - scprot4.exe

524 - avgas.exe

532 - avgnt.exe

560 - NMBgMonitor.exe

668 - guard.exe

896 - csrss.exe

920 - winlogon.exe

980 - services.exe

992 - lsass.exe

1164 - svchost.exe

1240 - svchost.exe

1276 - bdss.exe

1356 - svchost.exe

1444 - svchost.exe

1880 - slserv.exe

1920 - explorer.exe

1936 - aawservice.exe

2004 - spoolsv.exe

2324 - xcommsvr.exe

2572 - vsserv.exe

2996 - firefox.exe

3080 - livesrv.exe

3436 - NMIndexingServi

3704 - alg.exe

3792 - NMIndexStoreSvr

3872 - bdmcon.exe

3888 - cmd.exe

 

Total number of processes = 35

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F7D2F000 - \WINDOWS\system32\KDCOM.DLL

F7C3F000 - \WINDOWS\system32\BOOTVID.dll

F7724000 - sptd.sys

F7D31000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F770C000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F76DD000 - ACPI.sys

F76CC000 - pci.sys

F782F000 - isapnp.sys

F7D33000 - viaidexp.sys

F7AAF000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F783F000 - MountMgr.sys

F76AD000 - ftdisk.sys

F7D35000 - dmload.sys

F7687000 - dmio.sys

F7AB7000 - PartMgr.sys

F784F000 - VolSnap.sys

F766F000 - atapi.sys

F785F000 - disk.sys

F786F000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F7650000 - fltmgr.sys

F763E000 - sr.sys

F7627000 - KSecDD.sys

F759A000 - Ntfs.sys

F756D000 - NDIS.sys

F7ABF000 - viaagp1.sys

F7C43000 - RecAgent.sys

F7552000 - Mup.sys

F794F000 - \SystemRoot\System32\DRIVERS\amdk7.sys

F660C000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys

F65F8000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F6595000 - \SystemRoot\System32\DRIVERS\slntamr.sys

F7512000 - \SystemRoot\System32\DRIVERS\SlWdmSup.sys

F6576000 - \SystemRoot\System32\DRIVERS\Mtlmnt5.sys

F7B87000 - \SystemRoot\System32\Drivers\Modem.SYS

F7B8F000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F6553000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F7B97000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F795F000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F7B9F000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F7BA7000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F796F000 - \SystemRoot\System32\DRIVERS\imapi.sys

F7D69000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

F797F000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F798F000 - \SystemRoot\System32\DRIVERS\redbook.sys

F6530000 - \SystemRoot\System32\DRIVERS\ks.sys

F6469000 - \SystemRoot\system32\drivers\cmuda.sys

F6445000 - \SystemRoot\system32\drivers\portcls.sys

F799F000 - \SystemRoot\system32\drivers\drmk.sys

F79AF000 - \SystemRoot\System32\DRIVERS\fetnd5b.sys

F63DE000 - \SystemRoot\System32\Drivers\ax6wcro6.SYS

F7C07000 - \SystemRoot\System32\DRIVERS\fdc.sys

F63CD000 - \SystemRoot\System32\DRIVERS\serial.sys

F7035000 - \SystemRoot\System32\DRIVERS\serenum.sys

F63B9000 - \SystemRoot\System32\DRIVERS\parport.sys

F7031000 - \SystemRoot\System32\DRIVERS\gameenum.sys

F7E1B000 - \SystemRoot\System32\DRIVERS\audstub.sys

F7C0F000 - \SystemRoot\System32\DRIVERS\rasirda.sys

F7C17000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F79BF000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F7029000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F63A2000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F79CF000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F79DF000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F6391000 - \SystemRoot\System32\DRIVERS\psched.sys

F79EF000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F7C1F000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F7C27000 - \SystemRoot\System32\DRIVERS\raspti.sys

F6360000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

F79FF000 - \SystemRoot\System32\DRIVERS\termdd.sys

F7D73000 - \SystemRoot\System32\DRIVERS\swenum.sys

F632C000 - \SystemRoot\System32\DRIVERS\update.sys

F7CFB000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F7A0F000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7D23000 - \SystemRoot\system32\drivers\MODEMCSA.sys

F7D27000 - \SystemRoot\System32\Drivers\vulfntr.sys

F7A1F000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F7D79000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F7C37000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F7D7B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7F5C000 - \SystemRoot\System32\Drivers\Null.SYS

F7D7D000 - \SystemRoot\System32\Drivers\Beep.SYS

F7F5D000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

F7ADF000 - \SystemRoot\System32\drivers\vga.sys

F7D7F000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7D81000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7AE7000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7AEF000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7522000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F51A9000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F5151000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F5129000 - \SystemRoot\System32\DRIVERS\netbt.sys

F5107000 - \SystemRoot\System32\drivers\afd.sys

F7A3F000 - \SystemRoot\System32\DRIVERS\netbios.sys

F50DC000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F7F76000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS

F506D000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F7A5F000 - \SystemRoot\System32\Drivers\Fips.SYS

F504C000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F7A6F000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F4FFD000 - \SystemRoot\System32\DRIVERS\dumant.sys

F7D83000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys

F74E6000 - \SystemRoot\System32\DRIVERS\usbscan.sys

F7E19000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

F7B07000 - \SystemRoot\System32\DRIVERS\usbprint.sys

F7B0F000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

F4FB2000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F4F9A000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7D87000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F5228000 - \SystemRoot\System32\drivers\Dxapi.sys

F7B27000 - \SystemRoot\System32\watchdog.sys

BF9C1000 - \SystemRoot\System32\drivers\dxg.sys

F7EE0000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D3000 - \SystemRoot\System32\nv4_disp.dll

BFDE7000 - \SystemRoot\System32\NTOSKRNL.EXE

F3422000 - \SystemRoot\System32\DRIVERS\irda.sys

F51EC000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F30ED000 - \SystemRoot\system32\drivers\wdmaud.sys

F67FC000 - \SystemRoot\system32\drivers\sysaudio.sys

F2D51000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F2D16000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys

F7D5B000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F2D92000 - \SystemRoot\System32\Drivers\Aspi32.SYS

F2CC2000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

F2B95000 - \SystemRoot\System32\Drivers\HTTP.sys

F7D63000 - \SystemRoot\System32\Drivers\MASPINT.SYS

F2AF3000 - \SystemRoot\System32\DRIVERS\srv.sys

F2ACB000 - \SystemRoot\System32\DRIVERS\secdrv.sys

F2883000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F7D77000 - \??\C:\Program Files\Softwin\BitDefender9\bdfdll.sys

F27B7000 - \??\C:\Program Files\Softwin\BitDefender9\bdfsdrv.sys

F279B000 - \??\C:\Program Files\Softwin\BitDefender9\bdrsdrv.sys

F7F36000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 135

 

Liste des programmes installes

 

305KS Keyboard 1.2

a-squared Free 2.0

AC3Filter (remove only)

Ad-Aware 2007

Adobe Download Manager 1.2 (Supprimer uniquement)

Adobe Photoshop 7.0

Adobe Reader 8.1.0 - Français

Adobe Shockwave Player

Analyseur et SDK MSXML 4.0 SP2

Archiveur WinRAR

Audacity 1.2.6

AVG Anti-Spyware 7.5

Avira AntiVir PersonalEdition Classic

AviSynth 2.5

Barre d'outils MSN

BitDefender 9 Professional Plus

C-Media 3D Audio

CCleaner (remove only)

Ciel Gestion Commerciale Evolution (client) 6.10

CloneCD

Compel Adaptec WinASPI

Connexion Bureau à distance

Corel Painter IX

dBpowerAMP Music Converter

Digital Video Duplicator

DVD Shrink 3.2

EasyCleaner

EAX Unified

eMule

EPSON Logiciel imprimante

EPSON PRINT Image Framer Tool2.1

EVEREST Ultimate Edition v2.80

Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP

ffdshow

FinePixViewer Ver.3.2

FinePixViewer Ver.3.2

FUJIFILM USB Driver

HijackThis 1.99.1

ImageMixer VCD for FinePix

IsoBuster 2.1

Java 6 Update 2

Java SE Runtime Environment 6 Update 1

Labtec WebCam

Lame ACM MP3 Codec

Lecteur Windows Media 10

LiveUpdate BVRP Software

Macromedia Flash Player 8

Make Autorun

Microsoft Office 2000 CD-ROM 2

Microsoft Office Professional Edition 2003

Microsoft XML Parser

MicroStaff WINASPI

Modem On Hold

Morgan Stream Switcher

Mozilla Firefox (2.0.0.6)

My Drivers Professional Edition 2.11

NeoDivx 2006

Nero 7 Ultra Edition

neroxml

Neuf - Kit de connexion

NOD32 FiX v2.1

Norton PartitionMagic

Norton PartitionMagic 8.0

NVIDIA Windows 2000/XP Display Drivers

NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers

Paint.NET v2.5

PIF DESIGNER2.1

Powertoys FR Pour Windows XP

Programme de gestion Camera de Logitech®

QuickTime

RamBoost XP 4.0.6

Reason

RegSupreme Pro 1.2

Ri4m v5.0.1d

SAGEM F@st 800-840

ScanToWeb

Sony Ericsson PC Suite 1.20.173

Spybot - Search & Destroy 1.4

SpywareBlaster v3.5.1

Trojan Remover 6.5.4

Trust 305KS Mouse 1.2

TUGZip 3.4

TuneUp Utilities 2007

VideoLAN VLC media player 0.8.6b

Virtools 3D Life Player

VobSub v2.23 (Remove Only)

Vodei Multimedia Processor 2.00

WebFldrs XP

Windows Genuine Advantage v1.1.0008.0

Windows Media Connect

Windows Media Connect

Windows Media Format Runtime

Windows XP Service Pack 2

WinZip

x264 Revision 468 x264.nl (remove only)

XviD 1.1 final uninstall

Yahoo! Toolbar avec bloqueur de fenêtres pop-up

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\Program Files

 

04/09/2007 10:07 <REP> .

04/09/2007 10:07 <REP> ..

03/09/2007 20:47 <REP> 3721

07/01/2005 14:02 <REP> a2

29/07/2007 09:33 <REP> AC3Filter

03/09/2007 20:47 <REP> Accoona

25/08/2005 19:47 <REP> ACD Systems

16/08/2007 23:14 <REP> Adobe

22/08/2007 00:41 <REP> Ahead

03/09/2007 20:47 <REP> akl

03/09/2007 20:47 <REP> amsys

04/09/2007 10:58 <REP> AntiVir PersonalEdition Classic

20/08/2007 08:56 <REP> Anuman Interactive

03/09/2007 16:18 <REP> a-squared Free

16/08/2007 10:18 <REP> Audacity

23/08/2007 11:53 <REP> AviSynth 2.5

27/04/2005 17:59 <REP> Broderbund

21/08/2007 09:03 <REP> CCleaner

16/08/2007 19:26 <REP> Ciel

04/01/2005 23:46 <REP> C-Media 3D Audio

10/04/2006 13:05 <REP> codec dv

04/01/2005 23:25 <REP> ComPlus Applications

16/08/2007 23:11 <REP> Corel

25/08/2007 09:53 <REP> Crae Interactives

29/01/2005 17:40 <REP> Creative

25/08/2007 16:30 <REP> DAEMON Tools

29/07/2007 09:37 <REP> Digital Video Duplicator

10/02/2005 22:22 <REP> directx

23/08/2007 14:02 <REP> DivX

11/07/2006 00:35 <REP> Download Express

09/02/2005 19:13 <REP> DVD Shrink

21/08/2007 17:37 <REP> East-Tec Eraser 2006

06/01/2005 00:15 <REP> E-Color

29/01/2005 17:26 <REP> Eidos Interactive

14/08/2007 10:11 <REP> Elaborate Bytes

15/01/2005 21:48 <REP> Empire Interactive

21/08/2007 17:49 <REP> EPSON

04/09/2007 09:45 <REP> Eset

03/09/2007 20:47 <REP> e-zshopper

07/12/2005 11:11 <REP> ffdshow

03/09/2007 09:55 <REP> Fichiers communs

27/04/2005 19:15 <REP> FinePixViewer

29/07/2007 09:33 <REP> Gabest

17/08/2007 22:24 <REP> G-PEN SERIES

03/09/2007 22:18 <REP> Grisoft

26/09/2005 18:05 <REP> HighMAT CD Writing Wizard

05/01/2005 20:16 <REP> Icons

28/01/2005 23:53 <REP> Illustrate

20/08/2007 08:50 <REP> IncrediMail

13/01/2005 21:13 <REP> Intel Desktop Board

20/09/2006 21:37 <REP> InterMute

21/08/2007 17:25 <REP> Internet Explorer

21/08/2007 17:18 <REP> Jasc Software Inc

02/09/2007 12:51 <REP> Java

07/09/2005 17:29 <REP> Kazaa Lite K++

30/01/2005 10:56 <REP> Konvertor

28/05/2006 14:59 <REP> Lavalys

21/08/2007 18:04 <REP> Lavasoft

23/07/2006 22:09 <REP> Lavasoft(2)

29/07/2007 09:33 <REP> LiveUpdate

07/03/2006 23:24 <REP> Logitech

02/09/2007 19:33 <REP> lqlkdmpk

06/03/2006 18:50 <REP> Messenger

05/01/2005 20:59 <REP> microsoft frontpage

23/01/2005 13:44 <REP> Microsoft Office

23/01/2005 13:45 <REP> Microsoft.NET

06/07/2006 10:47 <REP> Modem On Hold

29/07/2007 09:34 <REP> Morgan

06/03/2006 18:51 <REP> Movie Maker

20/08/2007 09:49 <REP> Mozilla Firefox

06/01/2005 00:22 <REP> MSI

04/01/2005 23:24 <REP> MSN

30/12/2005 22:15 <REP> MSN Apps

04/01/2005 23:24 <REP> MSN Gaming Zone

26/09/2005 18:07 <REP> MSXML 4.0

26/08/2007 14:11 <REP> My Drivers

23/08/2007 16:22 <REP> neodivx2006

22/08/2007 09:18 <REP> Nero

06/03/2006 18:50 <REP> NetMeeting

10/08/2007 16:03 <REP> Neuf

23/12/2005 13:19 <REP> Norton Internet Security

24/12/2005 12:09 <REP> Norton SystemWorks

02/09/2003 19:33 <REP> Oeokpzzo

06/03/2006 18:50 <REP> Outlook Express

04/09/2007 09:15 <REP> p2pnetworks

29/01/2006 19:10 <REP> Paint.NET

05/01/2005 20:22 <REP> Panicware

29/05/2006 21:55 <REP> PhotoZoom Professional

06/01/2005 00:40 <REP> PIXELA

20/08/2007 08:59 <REP> Pochette Express 2

25/08/2007 08:59 <REP> Propellerhead

11/11/2006 19:12 <REP> QuickTime

05/11/2005 22:11 <REP> RamBoost XP

23/02/2007 07:53 <REP> Real

05/03/2005 17:05 <REP> RegClean

06/01/2005 00:22 <REP> RegCleaner

06/01/2005 00:38 <REP> REGSHAVE

03/06/2005 17:58 <REP> RegSupreme

24/08/2007 20:16 <REP> RegSupreme Pro

26/09/2005 18:04 <REP> Remote Desktop

23/08/2007 11:56 <REP> Ripp-it_AM

08/07/2006 23:08 <REP> SAGEM

02/09/2007 19:33 <REP> SecCenter

04/01/2005 23:26 <REP> Services en ligne

12/11/2006 16:55 <REP> Shareaza

27/02/2005 22:04 <REP> Skype

24/12/2005 12:01 <REP> SlySoft

22/08/2007 10:05 <REP> Smart Projects

05/01/2005 21:00 <REP> Snapshot Viewer

23/12/2005 16:38 <REP> Softwin

28/02/2007 19:58 <REP> Sony Ericsson

21/08/2007 00:26 <REP> Spybot - Search & Destroy

03/09/2007 20:58 <REP> SpywareBlaster

21/08/2007 18:36 <REP> Symantec

04/09/2007 16:10 <REP> telech

21/08/2007 09:04 <REP> ToniArts

28/08/2007 18:19 <REP> Trojan Remover

04/01/2005 23:42 <REP> Trust

23/08/2007 09:18 <REP> TUGZip

28/08/2007 11:34 <REP> TuneUp Utilities 2007

20/08/2007 09:01 <REP> Tweak-XP Pro

09/03/2005 18:29 <REP> Ubi Soft

04/04/2005 21:27 <REP> UBISOFT

12/11/2006 18:28 <REP> UseNeXT

01/03/2005 23:10 <REP> VIA Technologies, Inc

12/08/2007 11:51 <REP> VideoLAN

14/08/2007 18:55 <REP> Virtools

23/01/2005 21:51 <REP> Visicom Media

19/07/2006 22:55 <REP> Vodei

09/02/2005 19:58 <REP> vso

23/08/2007 16:21 <REP> WinASPI

26/09/2005 18:06 <REP> Windows Media Connect

06/03/2006 18:50 <REP> Windows Media Player

06/03/2006 18:50 <REP> Windows NT

30/12/2005 15:06 <REP> WinRAR

09/08/2005 22:06 <REP> WinZip

23/08/2007 16:20 <REP> x264

04/01/2005 23:28 <REP> xerox

23/08/2007 16:20 <REP> XviD

21/08/2007 09:03 <REP> Yahoo!

0 fichier(s) 0 octets

140 Rép(s) 44 049 707 008 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\Program Files\fichiers communs

 

03/09/2007 09:55 <REP> .

03/09/2007 09:55 <REP> ..

25/08/2005 19:47 <REP> ACD Systems

16/08/2007 23:15 <REP> Adobe

22/08/2007 09:20 <REP> Ahead

22/08/2007 15:56 <REP> Autodata Limited Shared

16/08/2007 19:26 <REP> Ciel

05/01/2005 20:52 <REP> Designer

19/08/2005 13:34 <REP> InstallShield

01/04/2005 21:59 <REP> Java

07/03/2006 23:23 <REP> Labtec

22/08/2007 01:21 <REP> Microsoft Shared

04/01/2005 23:25 <REP> MSSoap

04/01/2005 23:16 <REP> ODBC

18/08/2007 17:23 <REP> Real

04/01/2005 23:25 <REP> Services

06/03/2006 20:00 <REP> snpstd3

23/12/2005 16:38 <REP> Softwin

04/01/2005 23:16 <REP> SpeechEngines

17/09/2005 14:15 <REP> SWF Studio

21/08/2007 17:35 <REP> Symantec Shared

06/03/2006 18:50 <REP> System

11/08/2007 22:22 <REP> Teleca Shared

06/03/2006 19:15 <REP> Vbox

20/08/2007 09:01 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

25 Rép(s) 44 049 711 104 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

23/01/2005 13:44 <REP> .

23/01/2005 13:44 <REP> ..

23/01/2005 13:44 <REP> 1033

23/01/2005 13:44 <REP> 1036

11/07/2003 11:15 1 292 872 MSONSEXT.DLL

15/07/2003 07:52 35 896 MSOSV.DLL

03/06/1999 15:09 122 937 MSOWS409.DLL

07/03/2001 10:00 127 033 MSOWS40c.DLL

11/07/2003 03:25 80 448 PKMWS.DLL

18/03/1999 06:37 593 977 RAGENT.DLL

6 fichier(s) 2 253 163 octets

4 Rép(s) 44 049 707 008 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B876-5578

 

Répertoire de C:\

 

18/04/2005 15:50 16 896 16.exe

1 fichier(s) 16 896 octets

0 Rép(s) 44 049 707 008 octets libres

 

 

 

 

c:\Documents and Settings\Administrateur\Application Data\Simply Super Software\Trojan Remover\fcr4.exe

c:\Documents and Settings\sandy\Application Data\Simply Super Software\Trojan Remover\hgu481.exe

c:\Documents and Settings\sandy\Application Data\U3\temp\cleanup.exe

c:\Documents and Settings\sandy\Bureau\CWShredder.exe

c:\Documents and Settings\sandy\Bureau\OTMoveIt.exe

c:\Documents and Settings\sandy\Bureau\SafeXP.exe

c:\Documents and Settings\sandy\Bureau\scanner.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\sandy\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\exit.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\sandy\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\sandy\Local Settings\Temp\RarSFX1\basic\preupd.exe

c:\Documents and Settings\sandy\Local Settings\Temp\RarSFX1\basic\sched.exe

c:\Documents and Settings\sandy\Local Settings\Temp\RarSFX1\basic\setup.exe

c:\Documents and Settings\sandy\Local Settings\Temp\RarSFX1\basic\update.exe

c:\Documents and Settings\sandy\Local Settings\Temp\RarSFX1\basic\wsctool.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\ADBCD.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\Autorun.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\Install.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\REGUPDATE.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\Crack\Adbcd.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\AUTODATA_2004\LICENCE\SCTEST.exe

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\AUTORUN.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\INSTALLR.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\INSTMSI.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\INSTMSIW.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\ACROBATR\RP505ENU.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\REBIRTHD\INSTALLR.EXE

c:\Documents and Settings\sandy\Mes documents\Nouveau dossier\PROGRAM_DISC\RECYCLED\INSTALLR.EXE

c:\Documents and Settings\sandy\Mes documents\pilote pc\C-Media AC97 Audio Device\cmirmdrv.exe

c:\Documents and Settings\sandy\Mes documents\pilote pc\C-Media AC97 Audio Device\SmWizard.exe

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\ADBCD.EXE

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\AUTORUN.EXE

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\INSTALL.EXE

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\REGUPDAT.EXE

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\CRACK\ADBCD.EXE

c:\Documents and Settings\sandy\Mes documents\quads\AUTODATA_2004\LICENCE\SCTEST.EXE

c:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll

c:\Documents and Settings\All Users\Application Data\Ciel\Données Communes\pdf.dll

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\sandy\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

[Malekal_morte]

OK.. pour BitDefender...

Apparemment, t'as pas fait les manips OTMoveIT...

 

Je te les redonne avec d'autres fichiers...

Tu suis simplement les directives SANS te poser de questions...

 

Si tu n'y parviens pas...

Fais toi aider par quelqu'un dans ton entourage.

 

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\ace16win.dll

C:\WINDOWS\System32\wml.exe

C:\WINDOWS\System32\vxddsk.exe

C:\WINDOWS\System32\ESHOPEE.exe

C:\WINDOWS\System32\fuamfu32.ini

C:\WINDOWS\System32\din.ip

C:\WINDOWS\System32\drvjigr.dll

C:\WINDOWS\xxxvideo.exe

C:\WINDOWS\liqui.dll

C:\WINDOWS\xadbrk.exe

C:\WINDOWS\xadbrk.dll

C:\WINDOWS\liqui.exe

C:\WINDOWS\xadbrk_.exe

C:\WINDOWS\System32\drivers\x.gif

C:\WINDOWS\System32\drivers\win_logo.gif

C:\WINDOWS\System32\drivers\warning_icon.gif

C:\WINDOWS\System32\drivers\v.gif

C:\WINDOWS\System32\drivers\star_small.gif

C:\WINDOWS\System32\drivers\star_gray_small.gif

C:\WINDOWS\System32\drivers\star_gray.gif

C:\WINDOWS\system32\nusrmgr.exe

C:\WINDOWS\system32\oembios32.dll

C:\Documents and Settings\All Users\Application Data\lwduzgnu.dll

C:\Program Files\lqlkdmpk\

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

[scendys]

OK.. pour BitDefender...

Apparemment, t'as pas fait les manips OTMoveIT...

 

Je te les redonne avec d'autres fichiers...

Tu suis simplement les directives SANS te poser de questions...

 

Si tu n'y parviens pas...

Fais toi aider par quelqu'un dans ton entourage.

 

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

 

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

pourtant j'ai effectué tout ce que tu m'as dis et voilà les messages erreurs que j'ai eu quand j'ai fait moved :

"l'application ou la DLL C: \windows\system32\ace16win.dll n'est pas une image widows valide. Vérifier à l'aide de votre disquette d'installation .3

puis j'ai eu le même message pour l'application ou la dll : C:\windows\liqi.dll et enfin encore un message exactement pareil pour C:\windows\xadbrk.dll

 

donc je pense que c pour cette raison que je ne peux te donner l'info du rapport

 

 

OK.. pour BitDefender...

Apparemment, t'as pas fait les manips OTMoveIT...

 

Je te les redonne avec d'autres fichiers...

Tu suis simplement les directives SANS te poser de questions...

 

Si tu n'y parviens pas...

Fais toi aider par quelqu'un dans ton entourage.

 

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

 

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

pourtant j'ai effectué tout ce que tu m'as dis et voilà les messages erreurs que j'ai eu quand j'ai fait moved :

"l'application ou la DLL C: \windows\system32\ace16win.dll n'est pas une image widows valide. Vérifier à l'aide de votre disquette d'installation .

puis j'ai eu le même message pour l'application ou la dll : C:\windows\liqi.dll et enfin encore un message exactement pareil pour C:\windows\xadbrk.dll

 

donc je pense que c pour cette raison que je ne peux te donner l'info du rapport

[Malekal_morte]

Hummm OK.

On va essayer comme ça :

 

télécharges et installes :

KillBox de Option^Explicit

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

 

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\ace16win.dll

C:\WINDOWS\System32\wml.exe

C:\WINDOWS\System32\vxddsk.exe

C:\WINDOWS\System32\ESHOPEE.exe

C:\WINDOWS\System32\fuamfu32.ini

C:\WINDOWS\System32\din.ip

C:\WINDOWS\System32\drvjigr.dll

C:\WINDOWS\xxxvideo.exe

C:\WINDOWS\liqui.dll

C:\WINDOWS\xadbrk.exe

C:\WINDOWS\xadbrk.dll

C:\WINDOWS\liqui.exe

C:\WINDOWS\xadbrk_.exe

C:\WINDOWS\System32\drivers\x.gif

C:\WINDOWS\System32\drivers\win_logo.gif

C:\WINDOWS\System32\drivers\warning_icon.gif

C:\WINDOWS\System32\drivers\v.gif

C:\WINDOWS\System32\drivers\star_small.gif

C:\WINDOWS\System32\drivers\star_gray_small.gif

C:\WINDOWS\System32\drivers\star_gray.gif

C:\WINDOWS\system32\nusrmgr.exe

C:\WINDOWS\system32\oembios32.dll

C:\Documents and Settings\All Users\Application Data\lwduzgnu.dll

 

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur All Files

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

 

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log

Poste le rapport ici

[scendys]

Hummm OK.

On va essayer comme ça :

 

télécharges et installes :

KillBox de Option^Explicit

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur All Files

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

 

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log

Poste le rapport ici

J'ai effectué toutes les manips que tu m'as dit mais j'ai l'impression qu'il n'a supprimé qu'une seule ligne pourtant j'ai bien coché all files et j'ai fais un copier coller comme tu me l'as demandé . Voilà le rapport :

si ça continue je vais me pendre !!!!!!!!! grrrrrrrrrrrr

Pocket Killbox version 2.0.0.881

Running on Windows XP as sandy(Administrator)

was started @ mardi, septembre 04, 2007, 10:38 PM

 

Killbox Closed(Exit) @ 10:40:13 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as sandy(Administrator)

was started @ mardi, septembre 04, 2007, 10:41 PM

 

# 1 [Delete on Reboot]

Path = C:\WINDOWS\System32\msole32.exe

 

 

Killbox Closed(Exit) @ 10:42:13 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as sandy(Administrator)

was started @ mardi, septembre 04, 2007, 10:42 PM

 

# 1 [Delete on Reboot]

Path = C:\WINDOWS\System32\msole32.exe

 

 

I Rebooted @ 10:43:03 PM

Killbox Closed(Exit) @ 10:43:07 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as sandy(Administrator)

was started @ mardi, septembre 04, 2007, 10:49 PM

[scendys]

Hummm OK.

On va essayer comme ça :

 

télécharges et installes :

KillBox de Option^Explicit

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur All Files

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

 

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log

Poste le rapport ici

J'oubliais de te dire que j'ai aussi cliquer sur menu "file" "past from clip board" "all files" mais il ne m'a mis qu'une ligne !!

 

alors je suis allée sur le tutorial et j'ai tout lu , j'ai donc ouvert un nouveau dossier nommé "delfiles.text" comme ils le préconisent et j'ai fais un copier coller des fichiers que tu m'as dis de supprimer et j'ai effectué à la lettre la manip mais comme tu peux le constater il n'y a qu'une seule ligne qui est prise en compte .

Dois je procéder à la suppression des autres lignes pareillement ???

[Malekal_morte]

OK.

On va essayer autrement.

 

Telecharge sur ton bureau ce fichier http://www2.malekal.com/download/telecharger.com/scendys.cmd

(si le fichier s'ouvre sur le navigateur, tu fais un clic droit puis enregistrer la cible du lien sous).

 

 

 

- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

Si c'est pas bon (+ de 3 jours), tu clics sur start update.

Attention le format de date est en anglais aaaa/jj/mm

 

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

 

Double-clic sur scendys.cmd qui se trouve sur ton bureau.

Une fenêtre noire va s'ouvrir et se refermer.

C'est normal.

 

 

- Ouvre Antivir par le menu Démarrer / Programmes

- Cliquez sur l'onglet Scanner.

- Sélectionne Manual Selection

- Sélectionne le disque C

- Lance le scan - Mets en quarantaine tous les éléments détectés.

- Une fois le scan terminé Enregistre le rapport.

 

Redémarre en mode normal.

 

Poste le rapport ici.

Relance DiagHelp avec l'option 1, puis poste le rapport ici.

[scendys]

OK.

On va essayer autrement.

 

Telecharge sur ton bureau ce fichier http://www2.malekal.com/download/telecharger.com/scendys.cmd

(si le fichier s'ouvre sur le navigateur, tu fais un clic droit puis enregistrer la cible du lien sous).

- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

Si c'est pas bon (+ de 3 jours), tu clics sur start update.

Attention le format de date est en anglais aaaa/jj/mm

 

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

 

Double-clic sur scendys.cmd qui se trouve sur ton bureau.

Une fenêtre noire va s'ouvrir et se refermer.

C'est normal.

- Ouvre Antivir par le menu Démarrer / Programmes

- Cliquez sur l'onglet Scanner.

- Sélectionne Manual Selection

- Sélectionne le disque C

- Lance le scan - Mets en quarantaine tous les éléments détectés.

- Une fois le scan terminé Enregistre le rapport.

 

Redémarre en mode normal.

 

Poste le rapport ici.

Relance DiagHelp avec l'option 1, puis poste le rapport ici.

Justement je l'ai fait en mode sans échec vers les 15h et voici le rapport :

AntiVir PersonalEdition Classic

Report file date: mardi 4 septembre 2007 12:32

 

Scanning for 1043873 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: sandy

Computer name: SA-YOCHA4KPUUM

 

Version information:

BUILD.DAT : 248 14437 Bytes 31/05/2007 16:59:00

AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14

AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54

LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04

LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58

ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 08:11:44

ANTIVIR2.VDF : 6.39.1.74 1637376 Bytes 02/09/2007 08:11:44

ANTIVIR3.VDF : 6.39.1.83 28160 Bytes 04/09/2007 08:11:45

AVEWIN32.DLL : 7.4.1.66 2789888 Bytes 04/09/2007 08:11:45

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.3.0.15 360488 Bytes 04/09/2007 08:11:46

AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08

AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05

AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18

RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42

 

Configuration settings for the scan:

Jobname..........................: ShlExt

Configuration file...............: C:\DOCUME~1\sandy\LOCALS~1\Temp\19670927.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: off

Scan registry....................: off

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: mardi 4 septembre 2007 12:32

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\sandy\Bureau\backups\backup-20070904-091200-291.dll

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '47403528.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP787\A0197189.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was moved to '470e4781.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP815\A0204873.exe

[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen

[iNFO] The file was moved to '470f4837.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP815\A0204879.exe

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '470f483a.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP815\A0204975.exe

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '470f484e.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP815\A0204977.exe

[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen

[iNFO] The file was moved to '470f4852.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP815\A0205906.dll

[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen

[iNFO] The file was moved to '470f4856.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP816\A0208081.dll

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '470f4863.qua'!

C:\System Volume Information\_restore{36E58DFC-06E9-4594-940D-9C8A1652F7F0}\RP817\A0210136.dll

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '470f4869.qua'!

C:\WINDOWS\mtu.cmd

[DETECTION] Contains signature of the batch virus BAT/Winad.A

[iNFO] The file was moved to '475248c6.qua'!

C:\WINDOWS\winh32.exe

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '474b48c5.qua'!

C:\WINDOWS\system32\drvjig.dll

[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen

[iNFO] The file was moved to '47535e4e.qua'!

C:\WINDOWS\system32\nusrmgr.exe

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '47505ea6.qua'!

C:\WINDOWS\system32\oembios32.dll

[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

[iNFO] The file was moved to '474a5eaa.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

 

 

End of the scan: mardi 4 septembre 2007 15:38

Used time: 3:06:02 min

 

The scan has been done completely.

 

4992 Scanning directories

216734 Files were scanned

14 viruses and/or unwanted programs were found

1 classified as suspicious:

0 files were deleted

0 files were repaired

14 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

216719 Files not concerned

2054 Archives were scanned

6 Warnings

45 Notes

0 Hidden objects were found