winantivirus toujours actif

[MAR94]

Bonjour,

 

J'ai éssayé de me sortir tout seul de Winaniviruspro en suivant les conseils donnés par ECLYPSE à BOHEME52

car j'avais les mêmes traces.

Malheureusement après hijacktis et NAVILOG1 l'alerte est toujours là et je n'ai toujours pas l'administration du pc.

Voici le dernier rapport Hijackthis.

 

MeLogfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:15:10, on 11/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Havas Medimedia\Communs\Vidal.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\Cobian Backup 8\Cobian.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\Program Files\Cobian Backup 8\cbInterface.exe

C:\Program Files\AxiSoftware\AxiDBSafe\AxiDBSafe.exe

C:\Program Files\Ariane\Ariane\Ariane.exe

C:\WINDOWS\GALSVW32.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\REWEGA\Bureau\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {ABCDECF0-4B15-11D1-ABED-709549C10000} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [affinity] C:\Program Files\Borland\Interbase\Bin\IB_Affinity.exe -A1

O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Havas Medimedia\Communs\Vidal.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled

O4 - Global Startup: Microsoft Office.lnk.disabled

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AxiDBSafe - Axilog - C:\Program Files\AxiSoftware\AxiDBSafe\AxiDBSafe.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

--

End of file - 6122 bytes

rci d'avance de l'aide et du temps passé.

[eclypse]

Salut

 

Reouvre hijackthis et coche

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt

 

Clique sur fix checked

 

Passe navilog1 option 1 et 2 puis poste les rapports

 

Télécharge Smitfraud

 

Execute le fix option 1 uniquement puis poste le rapport

 

Fais ce scan

 

Poste moi

les rapports navilog

le rapport smitfraud

et le log bitdefender

 

@+

 

Eclypse

[MAR94]

Salut

 

Reouvre hijackthis et coche

Clique sur fix checked

 

Passe navilog1 option 1 et 2 puis poste les rapports

 

Télécharge Smitfraud

 

Execute le fix option 1 uniquement puis poste le rapport

 

Fais ce scan

 

Poste moi

@+

 

Eclypse

[MAR94]

Salut

 

Reouvre hijackthis et coche

Clique sur fix checked

 

Passe navilog1 option 1 et 2 puis poste les rapports

 

Télécharge Smitfraud

 

Execute le fix option 1 uniquement puis poste le rapport

 

Fais ce scan

 

Poste moi

@+

 

Eclypse

 

Bonsoir, j'ai fait une fausse manoeuvre lors de ma première réponse.

 

Voici donc les rapports de navilog1, smitfraud et bit defender, mais ce dernier n'est peut-être pas le bon

car le lien scan donnait PAGE NOT FOUND. Un scan ne pouvait pas faire de mal!!

 

Merci pour l'aide.

 

Search Navipromo version 3.0.1 commencé le 11/09/2007 à 18:14:49,36

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.09.2007 a 21h00 by IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

 

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\REWEGA\Application Data ***

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 09/11/07 at 18:15:09.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ..................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 09/11/07 at 18:17:33 (return code = 0).

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

* Scan C:\WINDOWS\system32 *

 

Fichiers trouvés :

 

Aucun Fichier trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

2)Recherche Heuristique :

*

 

 

 

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

 

*** Analyse Terminé le 11/09/2007 à 18:18:03,08 ***

 

Clean Navipromo version 3.0.1 commencé le 11/09/2007 à 18:24:47,15

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.09.2007 a 21h00 by IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

 

Mode suppression automatique

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec Backups résultats GenericNaviSearch ***

 

* Scan C:\WINDOWS\system32 *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\REWEGA\Application Data ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\REWEGA\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

 

 

 

2)Recherche et Suppression Heuristique :

 

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succes !

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

 

*** Nettoyage termine le 11/09/2007 à 18:28:28,62 ***

 

SmitFraudFix v2.222

 

Rapport fait à 18:31:37,77, 11/09/2007

Executé à partir de C:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AxiSoftware\AxiDBSafe\AxiDBSafe.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Havas Medimedia\Communs\Vidal.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\Cobian Backup 8\Cobian.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\Program Files\Cobian Backup 8\cbInterface.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\printer.exe PRESENT !

C:\WINDOWS\system32\systems.txt PRESENT !

C:\WINDOWS\system32\WinAvXX.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\REWEGA

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\REWEGA\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\REWEGA\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\REWEGA\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\WINDOWS\\system32\\systems.txt"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

BitDefender Online Scanner

 

 

 

Rapport d'analyse généré à: Tue, Sep 11, 2007 - 20:14:11

 

 

 

 

 

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

 

 

 

 

 

 

 

Statistiques

 

Temps

01:20:39

 

Fichiers

261182

 

Directoires

4129

 

Secteurs de boot

6

 

Archives

770

 

Paquets programmes

6812

 

 

 

 

Résultats

 

Virus identifiés

8

 

Fichiers infectés

9

 

Fichiers suspects

0

 

Avertissements

0

 

Désinfectés

0

 

Fichiers effacés

13

 

 

 

 

Info sur les moteurs

 

Définition virus

801079

 

Version des moteurs

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

 

Analyse des plugins

14

 

Archive des plugins

38

 

Unpack des plugins

7

 

E-mail plugins

6

 

Système plugins

1

 

 

 

 

Paramètres d'analyse

 

Première action

Désinfecté

 

Seconde Action

Supprimé

 

Heuristique

Oui

 

Acceptez les avertissements

Oui

 

Extensions analysées

*;

 

Excludez les extensions

 

 

Analyse d'emails

Oui

 

Analyse des Archives

Oui

 

Analyser paquets programmes

Oui

 

Analyse des fichiers

Oui

 

Analyse de boot

Oui

 

 

 

 

Fichier analysé

Statut

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: trulyx8.hk]=>(body)=>(Compressed Rtf)

Infecté par: Generic.Peed.Eml.28BD468A

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: trulyx8.hk]=>(body)=>(Compressed Rtf)

Echec de la désinfection

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: trulyx8.hk]=>(body)=>(Compressed Rtf)

Supprimé

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst

Mis à jour

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: e-cards.com]=>(body)=>(Compressed Rtf)

Infecté par: Generic.Peed.Eml.9CBCCB4B

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: e-cards.com]=>(body)=>(Compressed Rtf)

Echec de la désinfection

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a postcard from a family member!][From: e-cards.com]=>(body)=>(Compressed Rtf)

Supprimé

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst

Mis à jour

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a greeting card from a class-mate!][From: PostcardsFrom.Com]=>(body)=>(Compressed Rtf)

Infecté par: Generic.Peed.Eml.CDFDD960

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a greeting card from a class-mate!][From: PostcardsFrom.Com]=>(body)=>(Compressed Rtf)

Echec de la désinfection

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: You've received a greeting card from a class-mate!][From: PostcardsFrom.Com]=>(body)=>(Compressed Rtf)

Supprimé

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst

Mis à jour

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: Independence Day At The Park][From: dgreetings.com]=>(body)=>(Compressed Rtf)

Infecté par: Generic.Peed.Eml.A9EF5973

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: Independence Day At The Park][From: dgreetings.com]=>(body)=>(Compressed Rtf)

Echec de la désinfection

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[subject: Independence Day At The Park][From: dgreetings.com]=>(body)=>(Compressed Rtf)

Supprimé

 

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst

Mis à jour

 

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070371.exe

Infecté par: Trojan.Fakealert.BX

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070371.exe

Echec de la désinfection

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070371.exe

Supprimé

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070373.exe

Infecté par: Trojan.Downloader.Winfixer.U

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070373.exe

Echec de la désinfection

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070373.exe

Supprimé

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Infecté par: Trojan.Fakealert.BX

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Echec de la désinfection

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Supprimé

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)

Echec de la mise à jour

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134005.backup

Infecté par: Generic.Qhost.60FEA05A

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134005.backup

Echec de la désinfection

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134005.backup

Supprimé

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134006.backup

Infecté par: Generic.Qhost.16934822

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134006.backup

Echec de la désinfection

 

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134006.backup

Supprimé

[eclypse]

Salut

 

Redemarre en mode sans echec puis fais l'option 2 de smitfraud

 

Refais un scan bitdefender

 

Comment se comporte le pc

 

@+

[MAR94]

Salut

 

Redemarre en mode sans echec puis fais l'option 2 de smitfraud

 

Refais un scan bitdefender

 

Comment se comporte le pc

 

@+

 

 

Bonjour,

 

l'ordi est toujours infecté mais j'avais gardé spybot en résident et le registre n'a pas été modifié.

J'ai enlevé spybot et refait la manoeuvre préconisé mais sans résultat.

Voici le rapport bitdefender et un nouveau Hijack.

 

Merci

 

BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Sep 12, 2007 - 12:51:09

Voie d'analyse: A:\;C:\;D:\;E:\;

Statistiques

 

Temps

01:23:46

 

Fichiers

265272

 

Directoires

4171

 

Secteurs de boot

4

 

Archives

770

 

Paquets programmes

6935

Résultats

 

Virus identifiés

4

 

Fichiers infectés

4

 

Fichiers suspects

0

 

Avertissements

0

 

Désinfectés

0

 

Fichiers effacés

4

 

 

 

 

Info sur les moteurs

 

Définition virus

803560

 

Version des moteurs

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

 

Analyse des plugins

14

 

Archive des plugins

38

 

Unpack des plugins

7

 

E-mail plugins

6

 

Système plugins

1

 

 

 

 

Paramètres d'analyse

 

Première action

Désinfecté

 

Seconde Action

Supprimé

 

Heuristique

Oui

 

Acceptez les avertissements

Oui

 

Extensions analysées

*;

 

Excludez les extensions

 

 

Analyse d'emails

Oui

 

Analyse des Archives

Oui

 

Analyser paquets programmes

Oui

 

Analyse des fichiers

Oui

 

Analyse de boot

Oui

 

 

 

 

Fichier analysé

Statut

 

C:\rapport.txt

Infecté par: Generic.Qhost.E4B879D2

 

C:\rapport.txt

Echec de la désinfection

 

C:\rapport.txt

Supprimé

 

C:\rapportSMIT2.txt

Infecté par: Generic.Qhost.07D64549

 

C:\rapportSMIT2.txt

Echec de la désinfection

 

C:\rapportSMIT2.txt

Supprimé

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Infecté par: Trojan.Fakealert.BX

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Echec de la désinfection

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)=>(Instyler Module 3)

Supprimé

 

C:\System Volume Information\_restore{BB390978-81CB-4536-86EE-9A41A05C5BF1}\RP295\A0070380.exe=>(Instyler o)

Echec de la mise à jour

 

C:\WINDOWS\system32\drivers\etc\hosts

Infecté par: Generic.Qhost.8ACB561B

 

C:\WINDOWS\system32\drivers\etc\hosts

Echec de la désinfection

 

C:\WINDOWS\system32\drivers\etc\hosts

Supprimé

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:45:15, on 12/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AxiSoftware\AxiDBSafe\AxiDBSafe.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\printer.exe

C:\Program Files\Havas Medimedia\Communs\Vidal.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Cobian Backup 8\Cobian.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\Program Files\Cobian Backup 8\cbInterface.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft ActiveSync\WCESMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE

C:\Documents and Settings\REWEGA\Bureau\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [affinity] C:\Program Files\Borland\Interbase\Bin\IB_Affinity.exe -A1

O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Havas Medimedia\Communs\Vidal.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe"

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: Microsoft Office.lnk.disabled

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AxiDBSafe - Axilog - C:\Program Files\AxiSoftware\AxiDBSafe\AxiDBSafe.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

--

End of file - 6196 bytes

[eclypse]

Salut

 

Desactive tout tes protections registre puis

Desactive ta restauration systeme en suivant ce tuto

 

Redemarre puis reactive la

 

Reouvre hijackthis et coche

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

clique sur fix checkde

 

Télécharge OTMoveIt

 

Copie colle la liste ci dessous dans la case paste file\folders to move

C:\Documents and Settings\REWEGA\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134005.backup

C:\WINDOWS\system32\drivers\etc\hosts.20070906-134006.backup

 

Clique sur moveit

 

Redemarre en mode sans echec puis lance smitfraud option 2

 

Redemarre en mode normal et poste moi les rapports suivant :

otmoveit

smitfraud

hijackthis

 

@+

[MAR94]

Salut

 

Desactive tout tes protections registre puis

Desactive ta restauration systeme en suivant ce tuto

 

Redemarre puis reactive la

 

Reouvre hijackthis et coche

clique sur fix checkde

 

Télécharge OTMoveIt

 

Copie colle la liste ci dessous dans la case paste file\folders to move

Clique sur moveit

 

Redemarre en mode sans echec puis lance smitfraud option 2

 

Redemarre en mode normal et poste moi les rapports suivant :

@+

 

Salut,

 

ça commence mal je n'arrive pas à désactiver la restauration car je n'ai pas accès aux propriétés du poste de travail

car il y a des restrictions sur mon ordi.

 

Merci pour la réactivité.

[eclypse]

Salut

 

1°) Télécharge DiagHelp

2°) Tuto dispo ici

 

3°) Télécharge Looktomedestroyer

Ferme toute

s

le

s

fen

ê

tre

s

avant de continuer.

Double-clique

s

ur Loo

k

2Me-De

s

troyer.exe pour l'ouvrir.

Coche la croix le fix

s

e fermera et

s

e relancera au bout d'une minute

Quand il

s

'ouvrira clique

s

ur l'icone pour lancer le fix ton bureau di

s

paraitra c'e

s

t normal

Une foi

s

le fix fini clique

s

ur le 2eme bouton (remove L2M)

L'ordi doit

s

'arreter

à

la fin du fix

Po

s

te moi le rapport loo

k

2mede

s

troyer.txt ain

s

i que celui de diaghelp

 

@+

[MAR94]

Salut

 

1°) Télécharge DiagHelp

2°) Tuto dispo ici

 

3°) Télécharge Looktomedestroyer

Ferme toute

s

le

s

fen

ê

tre

s

avant de continuer.

Double-clique

s

ur Loo

k

2Me-De

s

troyer.exe pour l'ouvrir.

Coche la croix le fix

s

e fermera et

s

e relancera au bout d'une minute

Quand il

s

'ouvrira clique

s

ur l'icone pour lancer le fix ton bureau di

s

paraitra c'e

s

t normal

Une foi

s

le fix fini clique

s

ur le 2eme bouton (remove L2M)

L'ordi doit

s

'arreter

à

la fin du fix

Po

s

te moi le rapport loo

k

2mede

s

troyer.txt ain

s

i que celui de diaghelp

 

@+

 

Bonjour,

 

Voici les rapports demandés.

 

Le virus paraît plutôt attachant!!!

 

Remerci

 

DiagHelp version v1.2 - http://www.malekal.com

excute le 13/09/2007 à 7:20:27,08

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/09/2007 07:20:13

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/09/2007 07:19:11

C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->13/09/2007 07:18:48

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/09/2007 07:18:26

C:\WINDOWS\prefetch\SETUP.OVR-154CE291.pf -->13/09/2007 07:18:00

C:\WINDOWS\prefetch\RUNDLL32.EXE-268BFF96.pf -->13/09/2007 07:17:58

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/09/2007 07:17:54

C:\WINDOWS\prefetch\AVAST.SETUP-032170A8.pf -->13/09/2007 07:17:52

C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->13/09/2007 07:16:56

C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->13/09/2007 07:16:41

 

C:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 12:05:25

C:\WINDOWS\System32\drivers\aswmon2.sys -->06/09/2007 12:05:10

C:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 12:03:02

C:\WINDOWS\System32\drivers\aswTdi.sys -->06/09/2007 12:02:20

C:\WINDOWS\System32\drivers\aavmker4.sys -->06/09/2007 12:00:53

C:\WINDOWS\System32\drivers\wceusbsh.sys -->06/11/2006 18:04:56

C:\WINDOWS\System32\drivers\usb8023x.sys -->21/10/2005 03:47:05

 

C:\WINDOWS\System32\tmp.txt -->12/09/2007 11:05:56

C:\WINDOWS\System32\tmp.reg -->12/09/2007 11:05:56

C:\WINDOWS\System32\wpa.dbl -->11/09/2007 10:00:21

C:\WINDOWS\System32\CONFIG.NT -->10/09/2007 08:16:32

C:\WINDOWS\System32\gnc.exe -->06/09/2007 13:45:08

C:\WINDOWS\System32\aswBoot.exe -->06/09/2007 12:09:49

C:\WINDOWS\System32\AVASTSS.scr -->06/09/2007 12:00:07

C:\WINDOWS\System32\WinAvXX.exe -->05/09/2007 19:22:38

C:\WINDOWS\System32\printer.exe -->05/09/2007 19:22:38

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->09/08/2007 18:23:04

C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38

C:\WINDOWS\System32\javacpl.cpl -->12/07/2007 02:22:36

C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04

C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00

C:\WINDOWS\System32\118290.54 -->21/06/2007 18:47:24

C:\WINDOWS\System32\perfh00C.dat -->11/06/2007 10:00:08

C:\WINDOWS\System32\PerfStringBackup.INI -->11/06/2007 10:00:07

C:\WINDOWS\System32\perfh009.dat -->11/06/2007 10:00:07

C:\WINDOWS\System32\perfc00C.dat -->11/06/2007 10:00:07

C:\WINDOWS\System32\perfc009.dat -->11/06/2007 10:00:07

C:\WINDOWS\System32\VIDAL32envir.dll -->15/05/2007 19:23:00

C:\WINDOWS\System32\Mvsmpl32.dll -->15/05/2007 19:22:56

C:\WINDOWS\System32\Mvcdql32.dll -->15/05/2007 19:22:24

C:\WINDOWS\System32\jupdate-1.4.2_06-b03.log -->11/05/2007 13:55:54

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->16/04/2007 10:39:35

 

C:\WINDOWS\WindowsUpdate.log -->12/09/2007 20:40:07

C:\WINDOWS\win.ini -->12/09/2007 20:38:09

C:\WINDOWS\wiadebug.log -->12/09/2007 20:17:54

C:\WINDOWS\setupapi.log -->12/09/2007 17:30:25

C:\WINDOWS.log -->12/09/2007 17:07:17

C:\WINDOWS\wiaservc.log -->12/09/2007 17:06:43

C:\WINDOWS\bootstat.dat -->12/09/2007 17:06:30

C:\WINDOWS\ntbtlog.txt -->12/09/2007 17:02:57

C:\WINDOWS\SchedLgU.Txt -->12/09/2007 17:01:30

C:\WINDOWS\setupact.log -->12/09/2007 11:06:05

C:\WINDOWS\setuperr.log -->12/09/2007 10:14:58

C:\WINDOWS\BrzlBiDi.ini -->10/09/2007 08:09:23

C:\WINDOWS\37475937 -->03/09/2007 20:27:02

C:\WINDOWS\37512930 -->22/08/2007 21:14:21

C:\WINDOWS\118294.78 -->21/06/2007 18:47:24

 

 

MD5 des fichiers sensibles

tcpip.sys 9f4b36614a0fc234525ba224957de55c

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 16:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 29 388 877 824 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

12/09/2007 17:30 <REP> .

12/09/2007 17:30 <REP> ..

07/12/2004 17:07 32 bdcore.dll

25/05/2006 01:21 118 784 bdupd.dll

02/09/2006 19:54 65 desktop.ini

25/07/2002 18:13 24 576 dwusplay.dll

25/07/2002 18:13 196 608 dwusplay.exe

14/08/2007 14:02 1 588 hardwaredetection.inf

25/05/2006 01:21 53 248 ipsupd.dll

16/02/2005 17:15 401 408 isusweb.dll

08/08/2006 11:45 576 kavwebscan.inf

16/03/2005 12:34 7 407 lang.ini

07/12/2004 17:07 32 libfn.dll

14/03/2005 14:38 126 live.ini

01/06/2006 02:57 1 331 oscan8.inf

01/06/2006 02:54 471 040 oscan8.ocx

31/05/2006 04:15 10 oscan81.ocx_x

14/03/2005 14:58 7 073 scanoptions.tsi

22/06/2006 11:41 5 032 swflash.inf

17 fichier(s) 1 288 936 octets

 

Total des fichiers listés :

17 fichier(s) 1 288 936 octets

2 Rép(s) 29 388 873 728 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\Program Files\\Everydev\\Facilosave 2006\\FaciloTray.exe"="C:\\Program Files\\Everydev\\Facilosave 2006\\FaciloTray.exe:*:Enabled:FaciloTray"

"C:\\Program Files\\Borland\\Interbase\\Bin\\ibserver.exe"="C:\\Program Files\\Borland\\Interbase\\Bin\\ibserver.exe:*:Enabled:ibserver.exe"

"C:\\Documents and Settings\\REWEGA\\Local Settings\\Temporary Internet Files\\Content.IE5\\WHU78XIN\\A-inquiero%20interne[1].exe"="C:\\Documents and Settings\\REWEGA\\Local Settings\\Temporary Internet Files\\Content.IE5\\WHU78XIN\\A-inquiero%20interne[1].exe:*:Enabled:A-inquiero%20interne[1]"

"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java 2 Platform Standard Edition binary"

"C:\\Program Files\\Firebird\\Firebird_1_5\\bin\\fbserver.exe"="C:\\Program Files\\Firebird\\Firebird_1_5\\bin\\fbserver.exe:LocalSubNet:Enabled:fbserver.exe"

"C:\\Documents and Settings\\REWEGA\\Local Settings\\Temporary Internet Files\\Content.IE5\BPJYQ75\\A-inquiero%20interne[1].exe"="C:\\Documents and Settings\\REWEGA\\Local Settings\\Temporary Internet Files\\Content.IE5\BPJYQ75\\A-inquiero%20interne[1].exe:*:Enabled:A-inquiero%20interne[1]"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\AxiSoftware\\Axi5\\Axi5.exe"="C:\\Program Files\\AxiSoftware\\Axi5\\Axi5.exe:*:Enabled:Logiciel Avantage généraliste et spécialiste"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

 

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"legalnoticecaption"=""

"legalnoticetext"=""

"DisableRegistryTools"=dword:00000001

"DisableTaskMgr"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

192.168.200.3 downloads-us1.kaspersky-labs.com

192.168.200.3 downloads-us2.kaspersky-labs.com

192.168.200.3 downloads-us3.kaspersky-labs.com

192.168.200.3 downloads1.kaspersky-labs.com

192.168.200.3 downloads2.kaspersky-labs.com

192.168.200.3 downloads3.kaspersky-labs.com

192.168.200.3 downloads4.kaspersky-labs.com

192.168.200.3 ftp.downloads1.kaspersky-labs.com

192.168.200.3 ftp.downloads2.kaspersky-labs.com

192.168.200.3 ftp.downloads3.kaspersky-labs.com

192.168.200.3 ftp.kasperskylab.ru

192.168.200.3 ids.kaspersky-labs.com

192.168.200.3 kaspersky-labs.com

192.168.200.3 kaspersky.com

192.168.200.3 updates1.kaspersky-labs.com

192.168.200.3 updates2.kaspersky-labs.com

192.168.200.3 updates3.kaspersky-labs.com

192.168.200.3 updates4.kaspersky-labs.com

192.168.200.3 updates5.kaspersky-labs.com

192.168.200.3 www.kaspersky-labs.com

192.168.200.3 www.kaspersky.com

192.168.200.3 www.kaspersky.ru

192.168.200.3 customer.symantec.com

192.168.200.3 liveupdate.symantec.com

192.168.200.3 liveupdate.symantecliveupdate.com

192.168.200.3 securityresponse.symantec.com

192.168.200.3 service1.symantec.com

192.168.200.3 symantec.com

192.168.200.3 update.symantec.com

192.168.200.3 updates.symantec.com

192.168.200.3 www.symantec.com

192.168.200.3 www.symantec.com

192.168.200.3 liveupdate.symantec.com

192.168.200.3 liveupdate.symantecliveupdate.com

192.168.200.3 liveupdate.symantec.com

192.168.200.3 liveupdate.symantecliveupdate.com

192.168.200.3 update.symantec.com

192.168.200.3 updates.symantec.com

192.168.200.3 updates1.kaspersky-labs.com

192.168.200.3 updates2.kaspersky-labs.com

192.168.200.3 updates3.kaspersky-labs.com

192.168.200.3 updates4.kaspersky-labs.com

192.168.200.3 updates5.kaspersky-labs.com

192.168.200.3 windowsupdate.microsoft.com

192.168.200.3 trendmicro.com

192.168.200.3 www.trendmicro.com

192.168.200.3 ftp.sophos.com

192.168.200.3 sophos.com

192.168.200.3 www.sophos.com

192.168.200.3 pandasoftware.com

192.168.200.3 www.pandasoftware.com

192.168.200.3 networkassociates.com

192.168.200.3 www.networkassociates.com

192.168.200.3 windowsupdate.microsoft.com

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-13 07:20:50

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

228 - ashMaiSv.exe

236 - cbInterface.exe

240 - rapimgr.exe

268 - ashWebSv.exe

416 - fbguard.exe

428 - fbserver.exe

468 - mdm.exe

620 - wcescomm.exe

668 - svchost.exe

792 - csrss.exe

824 - winlogon.exe

868 - services.exe

880 - lsass.exe

1036 - svchost.exe

1080 - svchost.exe

1196 - explorer.exe

1220 - svchost.exe

1360 - svchost.exe

1520 - VIDAL.exe

1532 - ashDisp.exe

1572 - OpWareSE4.exe

1588 - Cobian.exe

1608 - ctfmon.exe

1636 - msmsgs.exe

1664 - GoogleToolbarNo

1752 - ashServ.exe

2020 - wscntfy.exe

2112 - alg.exe

2444 - AxiDBSafe.exe

2832 - galsvw32.exe

2904 - cmd.exe

3464 - Ariane.exe

 

Total number of processes = 32

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F97C6000 - \WINDOWS\system32\KDCOM.DLL

F96D6000 - \WINDOWS\system32\BOOTVID.dll

F9276000 - ACPI.sys

F97C8000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F9265000 - pci.sys

F92C6000 - isapnp.sys

F96DA000 - compbatt.sys

F96DE000 - \WINDOWS\System32\DRIVERS\BATTC.SYS

F97CA000 - intelide.sys

F9546000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F9247000 - pcmcia.sys

F92D6000 - MountMgr.sys

F9228000 - ftdisk.sys

F97CC000 - dmload.sys

F9202000 - dmio.sys

F954E000 - PartMgr.sys

F96E2000 - ACPIEC.sys

F988E000 - \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS

F92E6000 - VolSnap.sys

F91EA000 - atapi.sys

F92F6000 - disk.sys

F9306000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F91CB000 - fltmgr.sys

F91B9000 - sr.sys

F91A2000 - KSecDD.sys

F9115000 - Ntfs.sys

F90E8000 - NDIS.sys

F9316000 - ohci1394.sys

F9326000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

F90CD000 - Mup.sys

F9336000 - agp440.sys

F9476000 - \SystemRoot\System32\DRIVERS\p3.sys

F977E000 - \SystemRoot\System32\DRIVERS\CmBatt.sys

F904C000 - \SystemRoot\System32\DRIVERS\i81xnt5.sys

F9038000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F9486000 - \SystemRoot\System32\Drivers\ousbehci.sys

F95DE000 - \SystemRoot\System32\DRIVERS\usbohci.sys

F9015000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F8FF8000 - \SystemRoot\System32\DRIVERS\e100b325.sys

F8F63000 - \SystemRoot\System32\DRIVERS\ltmdmnt.sys

F95E6000 - \SystemRoot\System32\Drivers\Modem.SYS

F9496000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F95EE000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F95F6000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F8F4F000 - \SystemRoot\System32\DRIVERS\parport.sys

F8F3E000 - \SystemRoot\System32\DRIVERS\serial.sys

F9782000 - \SystemRoot\System32\DRIVERS\serenum.sys

F95FE000 - \SystemRoot\System32\DRIVERS\fdc.sys

F94A6000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F94B6000 - \SystemRoot\System32\DRIVERS\redbook.sys

F8F1B000 - \SystemRoot\System32\DRIVERS\ks.sys

F9606000 - \SystemRoot\System32\DRIVERS\usbuhci.sys

F8F03000 - \SystemRoot\system32\drivers\ac97intc.sys

F8EDF000 - \SystemRoot\system32\drivers\portcls.sys

F94C6000 - \SystemRoot\system32\drivers\drmk.sys

F98D4000 - \SystemRoot\System32\DRIVERS\audstub.sys

F94D6000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F978A000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F8EC8000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F94E6000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F94F6000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F960E000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F8EA6000 - \SystemRoot\System32\DRIVERS\psched.sys

F9506000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F961E000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F9626000 - \SystemRoot\System32\DRIVERS\raspti.sys

F8E3C000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

F9516000 - \SystemRoot\System32\DRIVERS\termdd.sys

F97EA000 - \SystemRoot\System32\DRIVERS\swenum.sys

F8DE0000 - \SystemRoot\System32\DRIVERS\update.sys

F97A6000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F9536000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F965E000 - \SystemRoot\System32\DRIVERS\wVchNTxx.sys

F9396000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F97EE000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F93A6000 - \SystemRoot\System32\DRIVERS\ousb2hub.sys

F9766000 - \SystemRoot\system32\drivers\MODEMCSA.sys

F9686000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F97F4000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F9934000 - \SystemRoot\System32\Drivers\Null.SYS

F97F6000 - \SystemRoot\System32\Drivers\Beep.SYS

F9696000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F969E000 - \SystemRoot\System32\drivers\vga.sys

F97F8000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F97FA000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F96A6000 - \SystemRoot\System32\Drivers\Msfs.SYS

F96AE000 - \SystemRoot\System32\Drivers\Npfs.SYS

F977A000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F48D3000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F487B000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F93C6000 - \SystemRoot\System32\Drivers\aswTdi.SYS

F4853000 - \SystemRoot\System32\DRIVERS\netbt.sys

F4831000 - \SystemRoot\System32\drivers\afd.sys

F93D6000 - \SystemRoot\System32\DRIVERS\netbios.sys

F4765000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F46CE000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F9406000 - \SystemRoot\System32\Drivers\Fips.SYS

F46AD000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F466D000 - \SystemRoot\system32\DRIVERS\WlanUZXP.sys

F9416000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F96BE000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F8C30000 - \SystemRoot\system32\DRIVERS\usbscan.sys

F9576000 - \SystemRoot\system32\DRIVERS\usbprint.sys

F45CE000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F45B6000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F980C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F9596000 - \SystemRoot\System32\watchdog.sys

F4A9D000 - \SystemRoot\System32\drivers\Dxapi.sys

BF000000 - \SystemRoot\System32\drivers\dxg.sys

F99D4000 - \SystemRoot\System32\drivers\dxgthk.sys

BF012000 - \SystemRoot\System32\i81xdnt5.dll

F456E000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F4328000 - \SystemRoot\System32\Drivers\aswMon2.SYS

F4193000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F983C000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F40F0000 - \SystemRoot\System32\DRIVERS\srv.sys

F417B000 - \SystemRoot\System32\Drivers\WILPAR.SYS

F3F9B000 - \SystemRoot\system32\drivers\wdmaud.sys

F4060000 - \SystemRoot\system32\drivers\sysaudio.sys

F3A05000 - \SystemRoot\System32\Drivers\HTTP.sys

F3A5E000 - \SystemRoot\System32\Drivers\aswRdr.SYS

F3C9E000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F48FE000 - \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys

F35F1000 - \SystemRoot\system32\drivers\kmixer.sys

F9616000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

F98DA000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 129

 

Liste des programmes installes

 

Adobe Flash Player 9 ActiveX

Adobe Reader 7.0.9 - Français

Adobe® Photoshop® Album Edition Découverte 3.0

avast! Antivirus

Axiam 1.40

AxiAM139

AxiBDE - Borland Database Engine

AxiBDE - Borland Database Engine

AxiDBSafe

AxiDBSafe

AxiFirebird

AxiFirebird 1.5

AXILIBER

AxiSanté 2000

AxiSanté 5

AxiScan

AxiScan

AxiScan (supression)

BatMemTime

Cabos

Canon MF Toolbox 4.9.1.1.mf03

Canon MF Toolbox 4.9.1.1.mf03

CCleaner (remove only)

CD Sheet Music

cLaunch

Cobian Backup 8

Composant Hmk

Google Toolbar for Internet Explorer

HijackThis 2.0.2

Hotfix for Windows XP (KB909394)

J2SE Runtime Environment 5.0 Update 10

J2SE Runtime Environment 5.0 Update 11

J2SE Runtime Environment 5.0 Update 8

J2SE Runtime Environment 5.0 Update 9

Java 2 Runtime Environment, SE v1.4.2_06

Java 6 Update 2

Java SE Runtime Environment 6 Update 1

Kaspersky Online Scanner

Livebox

Ma-Config.com plugin

Magic Button

MAJ Axisante 072006

MAJ Axisante 072006

MAJAxiAM139

Microsoft .NET Framework 1.1

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0

Microsoft ActiveSync

Microsoft Office XP Professional

Microsoft Visual Keyboard

Mise à Jour AVRIL 2006

Mise à Jour AVRIL 2006

Navilog1 3.0.1

Open Cellar Mobile

Outils de dépannage

Outils de dépannage

Presto! PageManager 7.15.11

SAGEM Wi-Fi 11g USB adapter (Driver)

ScanSoft OmniPage SE 4.0

Séries MF4100 de Canon

Unimessage Pro

VIDALexpert

VideoLAN VLC media player 0.8.6a

Visit

Visit

WebFldrs XP

Windows Installer 3.1 (KB893803)

Windows XP Service Pack 2

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\Program Files

 

12/09/2007 17:30 <REP> .

12/09/2007 17:30 <REP> ..

22/09/2006 09:54 <REP> Adobe

14/09/2006 07:17 <REP> Alwil Software

11/05/2007 13:22 <REP> Ariane

19/10/2006 16:11 <REP> Astase

04/09/2006 10:33 <REP> AvantGo Connect

09/10/2006 15:45 <REP> AxiAM

14/09/2006 08:40 <REP> AXILIBER

12/09/2007 17:39 <REP> AxiSante2000

30/07/2007 10:24 <REP> AxiSoftware

02/09/2006 20:50 <REP> Borland

04/12/2006 11:43 <REP> Cabos

14/06/2007 10:06 <REP> CABviaActiveSync

25/06/2007 14:59 <REP> Calc98a

12/03/2007 15:23 <REP> Canon

06/09/2007 19:48 <REP> CCleaner

16/05/2007 14:36 <REP> CDSheet

16/05/2007 17:21 <REP> Cobian Backup 8

04/09/2006 10:33 <REP> Common Files

02/09/2006 19:51 <REP> ComPlus Applications

11/05/2007 13:12 <REP> Courrier

19/10/2006 08:01 <REP> Everydev

11/05/2007 13:12 <REP> External

10/09/2007 12:21 <REP> Fichiers communs

11/05/2007 13:13 <REP> Firebird

11/05/2007 13:12 <REP> Formulaires

29/01/2007 09:56 <REP> Google

12/09/2007 17:30 <REP> HardwareDetection

02/09/2006 20:42 <REP> Havas Medimedia

13/07/2007 18:55 <REP> Impôt

15/02/2007 11:23 <REP> Intel

11/05/2007 13:26 <REP> Internet Explorer

09/08/2007 18:23 <REP> Java

12/09/2007 17:33 <REP> ma-config.com

06/09/2006 14:13 <REP> Messenger

06/09/2007 13:49 <REP> Microsoft ActiveSync

02/09/2006 19:56 <REP> microsoft frontpage

18/06/2007 15:48 <REP> Microsoft Office

04/09/2006 09:49 <REP> Microsoft Visual Studio

06/09/2006 14:05 <REP> Movie Maker

02/09/2006 19:51 <REP> MSN

02/09/2006 19:51 <REP> MSN Gaming Zone

11/09/2007 18:28 <REP> Navilog1

06/09/2006 14:01 <REP> NetMeeting

09/03/2007 16:07 <REP> NewSoft

06/09/2006 14:01 <REP> Outlook Express

10/06/2004 13:13 40 960 owcsetup.dll

29/04/2004 13:36 40 960 owsetup1.dll

14/09/2006 07:07 <REP> Realtek AC97

14/09/2006 07:07 <REP> SAGEM

09/03/2007 16:04 <REP> ScanSoft

02/09/2006 19:53 <REP> Services en ligne

11/05/2007 13:16 <REP> sesam

09/11/2006 09:03 <REP> SpamPal

12/09/2007 10:57 <REP> Spybot - Search & Destroy

04/09/2006 08:51 <REP> Unimessage Pro

09/10/2006 08:56 <REP> uxtobirza

24/01/2007 18:31 <REP> VideoLAN

11/05/2007 13:35 <REP> Visit

08/09/2006 14:47 <REP> Wanadoo

06/09/2006 14:07 <REP> Windows Media Player

06/09/2006 14:01 <REP> Windows NT

02/09/2006 19:56 <REP> xerox

2 fichier(s) 81 920 octets

62 Rép(s) 29 388 808 192 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\Program Files\fichiers communs

 

10/09/2007 12:21 <REP> .

10/09/2007 12:21 <REP> ..

27/02/2007 10:59 <REP> Adobe

11/05/2007 13:13 <REP> borland shared

04/09/2006 09:49 <REP> Designer

10/10/2006 07:35 <REP> EconomiseurEcran

25/06/2007 23:00 <REP> InstallShield

13/11/2006 18:34 <REP> Java

18/06/2007 16:21 <REP> Microsoft Shared

02/09/2006 19:52 <REP> MSSoap

02/09/2006 10:33 <REP> ODBC

09/03/2007 16:09 <REP> PDFView

09/03/2007 16:05 <REP> ScanSoft Shared

02/09/2006 19:52 <REP> Services

02/09/2006 10:33 <REP> SpeechEngines

06/09/2006 14:01 <REP> System

0 fichier(s) 0 octets

16 Rép(s) 29 388 791 808 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

18/06/2007 16:21 <REP> .

18/06/2007 16:21 <REP> ..

04/09/2006 09:49 <REP> 1033

04/09/2006 09:48 <REP> 1036

25/03/2003 18:38 1 327 104 MSONSEXT.DLL

13/02/2001 08:23 58 784 MSOSV.DLL

03/06/1999 14:09 122 937 MSOWS409.DLL

07/03/2001 09:00 127 033 MSOWS40c.DLL

06/08/2000 09:04 401 462 MSVCP60.DLL

22/01/2001 03:25 69 632 PKMAXCTL.DLL

22/01/2001 03:25 872 448 PKMCDO.DLL

22/01/2001 03:25 159 744 PKMCORE.DLL

07/02/2001 09:59 106 496 PKMFORMS.DLL

12/02/2001 04:03 684 032 PKMRES.DLL

22/01/2001 03:25 28 672 PKMSSTLB.DLL

22/01/2001 03:25 40 960 PKMTEMPL.DLL

22/01/2001 03:25 24 576 PKMTRACE.DLL

22/01/2001 03:25 86 016 PKMWS.DLL

22/01/2001 03:25 237 568 PROMDEMO.DLL

22/01/2001 03:25 184 320 SECMGR.DLL

22/01/2001 03:25 323 584 VAIDDMGR.DLL

22/01/2001 03:25 32 768 VAIMEM.DLL

18 fichier(s) 4 888 136 octets

4 Rép(s) 29 388 791 808 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\Program Files\common files

 

04/09/2006 10:33 <REP> .

04/09/2006 10:33 <REP> ..

04/09/2006 10:33 <REP> Microsoft Shared

0 fichier(s) 0 octets

3 Rép(s) 29 388 791 808 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est F48A-6C17

 

Répertoire de C:\

 

28/11/2006 20:32 1 080 320 Axilog_Rapport_Installation.exe

1 fichier(s) 1 080 320 octets

0 Rép(s) 29 388 791 808 octets libres

 

 

 

 

c:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\system.exe

c:\Documents and Settings\All Users\Application Data\{2F2A18B0-99AC-40CD-AB3E-0E4219798E0E}\AxiToolBox.exe

c:\Documents and Settings\All Users\Application Data\{44CE10B1-9AC9-448A-B703-3929D2182EAA}\AxiBDE.exe

c:\Documents and Settings\All Users\Application Data\{4F9B6BDD-C3C0-4438-8ED3-66DD703CC366}\AxiSante5-Axiam.exe

c:\Documents and Settings\All Users\Application Data\{6739091E-EC5E-4423-BBFA-C5AA2D87B096}\AxiDBSafe.exe

c:\Documents and Settings\All Users\Application Data\{72BB904D-55B2-49D9-8414-D54C6535D3DE}\AxiFirebird.exe

c:\Documents and Settings\All Users\Application Data\{D904F024-83FF-419F-8EC9-85077FDDC74A}\Visit.exe

c:\Documents and Settings\All Users\Application Data\{E9AB75AA-5BAB-45CD-B339-C2E6BD0D45EB}\APISesamVitale.exe

c:\Documents and Settings\All Users\Application Data\{F062B1FA-AD02-4F70-8A23-70D4789BFB33}\VIP.exe

c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe

c:\Documents and Settings\REWEGA\.limewire\.NetworkShare\LimeWireWin4.12.6-nopack2.exe

c:\Documents and Settings\REWEGA\.limewire\.NetworkShare\LimeWireWinInstaller.exe

c:\Documents and Settings\REWEGA\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\REWEGA\Bureau\avgas-setup-7.5.1.43.exe

c:\Documents and Settings\REWEGA\Bureau\Navilog1.exe

c:\Documents and Settings\REWEGA\Bureau\OTMoveIt.exe

c:\Documents and Settings\REWEGA\Bureau\VundoFix.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\md5sums.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\REWEGA\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\HijackThis.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070910-195203-247-system.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070910-195203-294-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070910-201457-814-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070910-202908-369-system.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070910-202908-988-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-082607-587-system.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-082607-736-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-174328-295-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-174328-893-system.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-181320-498-autorun.exe

c:\Documents and Settings\REWEGA\Bureau\HiJackThis\backups\backup-20070911-181320-801-system.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\dumphive.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\exit.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\Process.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\Reboot.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\restart.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\swreg.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\swsc.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\unzip.exe

c:\Documents and Settings\REWEGA\Bureau\SmitfraudFix\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\REWEGA\Bureau\Zeb-Restore\ZR_1.0.0.37\Zeb-Restore.exe

c:\Documents and Settings\REWEGA\Local Settings\Temp\testnsis\setupmconfig.exe

c:\Documents and Settings\REWEGA\Local Settings\Temporary Internet Files\Content.IE5\AZXJ8LJW\setup_2_0_4_9[1].exe

c:\Documents and Settings\REWEGA\Menu Démarrer\Programmes\Démarrage\system.exe

c:\Documents and Settings\REWEGA\Mes documents\XPIMAGING.EXE

c:\Documents and Settings\REWEGA\Mes documents\Sauvlog\cbSetup.exe

c:\Documents and Settings\REWEGA\Mes documents\Sauvlog\WindowsXP-KB835935-SP2-FRA.exe

c:\Documents and Settings\REWEGA\Mes documents\Téléchargement\ccsetup140.exe

c:\Documents and Settings\REWEGA\Mes documents\Téléchargement\Cabos\winrar.exe

c:\Program Files\AxiSoftware\Axi5\LoadDocuments.exe

c:\Program Files\AxiSoftware\Programs\LoadDocuments\LoadDocuments.exe

c:\Program Files\AxiSoftware\Update\CdFiles_2600\LoadDocuments.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll

c:\Documents and Settings\All Users\Application Data\{2F2A18B0-99AC-40CD-AB3E-0E4219798E0E}\mia.dll

c:\Documents and Settings\All Users\Application Data\{44CE10B1-9AC9-448A-B703-3929D2182EAA}\mia.dll

c:\Documents and Settings\All Users\Application Data\{4F9B6BDD-C3C0-4438-8ED3-66DD703CC366}\mia.dll

c:\Documents and Settings\All Users\Application Data\{6739091E-EC5E-4423-BBFA-C5AA2D87B096}\mia.dll

c:\Documents and Settings\All Users\Application Data\{72BB904D-55B2-49D9-8414-D54C6535D3DE}\mia.dll

c:\Documents and Settings\All Users\Application Data\{D904F024-83FF-419F-8EC9-85077FDDC74A}\mia.dll

c:\Documents and Settings\All Users\Application Data\{E9AB75AA-5BAB-45CD-B339-C2E6BD0D45EB}\mia.dll

c:\Documents and Settings\All Users\Application Data\{F062B1FA-AD02-4F70-8A23-70D4789BFB33}\mia.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll

c:\Documents and Settings\REWEGA\Local Settings\Application Data\Seven Zip\Formats\7z.dll

 

****** Fin du rapport DiagHelp

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

Scan started at 13/09/2007 07:26:02

 

 

Attempting to delete infected files...

 

Making registry repairs.

 

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded