Problème lenteur

Daniel4981 · le 17 septembre 2007

Bonjour à tous, mon PC est soudainement lent, je vous joins mon rapport hijack pour ceux qui pourrait me l'interprété, si il y a des vers ou virus. Car rien avec Norton.

Logfile of HijackThis v1.99.1

Scan saved at 00:46:37, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Logiciels\HijackThis.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 212.150.54.250 dv-networks.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NAV CfgWiz] c:\Program Files\Fichiers communs\Symantec Shared\SymProbe.exe -r "C:\Program Files\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156289142011

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156714563671

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

eclypse · le 18 septembre 2007

Salut

Reouvre hijackthis et coche

O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

Clique sur fix checked

DiagHelp (Malekal_morte)

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.
Un nouveau dossier chercher va être créé DiagHelp.
Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

ATF Cleaner (Atribune)

Télécharge ATF Cleaner par Atribune.

Redémarre en mode sans échec :
(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].
Double-clique ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

AVG AntiSpyware)

Télécharges AVG AS

Mets-le à jour.
Ferme AVG AS. Ne le lance pas tout de suite.
si tu n'y arrives pas, consultes le tutoriel de Malekal
...
Lance AVG AS et cliques sur Analyse
Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
Redémarre en mode normal et poste :
- le rapport AVG AS
- un nouveau log hijackthis

Kaspersky

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien
Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

@+

Daniel4981 · le 18 septembre 2007

Salut

Reouvre hijackthis et coche

Clique sur fix checked

DiagHelp (Malekal_morte)

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.

Un nouveau dossier chercher va être créé DiagHelp.

Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)

Une fenêtre va s'ouvrir, choisis l'option 1

L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

ATF Cleaner (Atribune)

Télécharge ATF Cleaner par Atribune.

Redémarre en mode sans échec :
(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

AVG AntiSpyware)

Télécharges AVG AS

Mets-le à jour.

Ferme AVG AS. Ne le lance pas tout de suite.
si tu n'y arrives pas, consultes le tutoriel de Malekal
...

Lance AVG AS et cliques sur Analyse

Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine

Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre

Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau

Redémarre en mode normal et poste :

le rapport AVG AS

un nouveau log hijackthis

Kaspersky

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien

Fais un scan en ligne Kaspersky avec Internet Explorer :

Clique sur

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

@+

Bonjour,

Merci pour le coup de main!!!

Désolé de ne pas avoir répondu plus tôt, je rentre juste de boulot. Je suis entrain de faire tout ce que tu m'as dit et je post les rapports dès que c'est fait.

Daniel4981 · le 18 septembre 2007

Voici les différents rapport demandé...

DiagHelp version v1.2 - http://www.malekal.com

excute le 18/09/2007 à 18:07:01,98

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->18/09/2007 18:06:57

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->18/09/2007 18:06:53

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->18/09/2007 18:05:38

C:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->18/09/2007 18:05:03

C:\WINDOWS\prefetch\IEXPLORE.EXE-2D97EBE6.pf -->18/09/2007 18:03:59

C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->18/09/2007 18:02:18

C:\WINDOWS\prefetch\HIJACKTHIS.EXE-1DBCB975.pf -->18/09/2007 18:02:13

C:\WINDOWS\prefetch\WINWORD.EXE-0614BEA2.pf -->18/09/2007 17:57:58

C:\WINDOWS\prefetch\NAVW32.EXE-32139521.pf -->18/09/2007 17:57:50

C:\WINDOWS\prefetch\MSNMSGR.EXE-3744B6D8.pf -->18/09/2007 17:56:51

C:\WINDOWS\System32\drivers\SYMEVENT.SYS -->06/04/2007 23:14:18

C:\WINDOWS\System32\drivers\SYMEVENT.INF -->06/04/2007 23:14:18

C:\WINDOWS\System32\drivers\SYMEVENT.CAT -->06/04/2007 23:14:18

C:\WINDOWS\System32\drivers\symtdi.sys -->28/03/2007 18:51:48

C:\WINDOWS\System32\drivers\symredrv.sys -->28/03/2007 18:51:42

C:\WINDOWS\System32\drivers\symids.sys -->28/03/2007 18:51:36

C:\WINDOWS\System32\drivers\symndis.sys -->28/03/2007 18:51:32

C:\WINDOWS\System32\wpa.dbl -->18/09/2007 14:53:31

C:\WINDOWS\System32\nvapps.xml -->18/09/2007 14:53:02

C:\WINDOWS\System32\MRT.exe -->06/09/2007 04:50:42

C:\WINDOWS\System32\TZLog.log -->29/08/2007 00:53:54

C:\WINDOWS\System32\lvcoinst.log -->31/07/2007 20:47:25

C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52

C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42

C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36

C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32

C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28

C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28

C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20

C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16

C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12

C:\WINDOWS\System32\mucltui.dll -->30/07/2007 19:19:10

C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04

C:\WINDOWS\System32\muweb.dll -->30/07/2007 19:19:04

C:\WINDOWS\System32\mucltui.dll.mui -->30/07/2007 19:18:58

C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48

C:\WINDOWS\System32\wups.dll -->30/07/2007 19:18:40

C:\WINDOWS\System32\mshtml.dll -->19/07/2007 08:58:09

C:\WINDOWS\System32\tzchange.exe -->18/07/2007 14:42:22

C:\WINDOWS\System32\wininet.dll -->27/06/2007 15:24:19

C:\WINDOWS\System32\webcheck.dll -->27/06/2007 15:24:15

C:\WINDOWS\WindowsUpdate.log -->18/09/2007 14:52:59

C:\WINDOWS\wiadebug.log -->18/09/2007 14:52:58

C:\WINDOWS\wiaservc.log -->18/09/2007 14:52:57

C:\WINDOWS\bootstat.dat -->18/09/2007 14:52:39

C:\WINDOWS\SchedLgU.Txt -->18/09/2007 14:51:05

C:\WINDOWS\NeroDigital.ini -->13/09/2007 18:31:46

C:\WINDOWS\$_hpcst$.hpc -->12/09/2007 14:18:36

C:\WINDOWS\Microsoft.MIF -->11/09/2007 19:38:14

C:\WINDOWS\nsreg.dat -->11/09/2007 18:32:49

C:\WINDOWS\QTFont.qfn -->27/08/2007 19:54:48

C:\WINDOWS\ModemLog_Nokia GSM Phone USB Modem.txt -->24/07/2007 00:14:32

C:\WINDOWS\QTFont.for -->24/07/2007 00:04:10

C:\WINDOWS\explorer.exe -->13/06/2007 15:22:28

C:\WINDOWS\Sti_Trace.log -->25/05/2007 18:31:08

C:\WINDOWS\mozver.dat -->18/03/2007 13:28:43

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est A850-247D

Répertoire de C:\WINDOWS\system

07/05/1998 17:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 62 437 126 144 octets libres

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est A850-247D

Répertoire de C:\WINDOWS\system32

05/08/2004 12:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 62 437 122 048 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle PRESARIO

Le numéro de série du volume est A850-247D

Répertoire de C:\WINDOWS\Downloaded Program Files

10/10/2006 19:19 <REP> .

10/10/2006 19:19 <REP> ..

25/02/2004 17:48 403 ATPartners.inf

22/12/2004 02:00 2 390 catalog.dat

29/01/2005 00:37 <REP> CONFLICT.1

07/01/2004 17:35 1 134 Cult.inf

01/01/2004 23:50 65 desktop.ini

25/06/2006 12:50 1 793 erma.inf

10/04/2000 17:12 1 765 fhg.inf

10/12/2004 02:18 113 408 HMAtchmt.ocx

15/05/2006 18:48 367 LegitCheckControl.inf

27/10/2004 14:10 111 752 LSSupCtl.dll

27/10/2004 14:03 302 LSSupCtl.inf

30/01/2002 02:00 497 MDM.inf

13/07/2004 12:41 227 MsnMessengerSetupDownloader.inf

05/11/2004 16:58 119 496 MsnMessengerSetupDownloader.ocx

26/05/2005 04:19 293 muweb.inf

26/10/2004 19:10 6 854 navapi.vxd

26/10/2004 19:10 208 896 navapi32.dll

22/12/2004 02:00 124 072 naveng32.dll

22/12/2004 02:00 685 224 navex32a.dll

03/06/2004 11:05 524 445 RdxIE.dll

22/12/2004 02:00 86 640 scrauth.dat

20/11/1997 21:23 252 searchsettings.inf

20/11/1997 21:25 34 816 searchsettings.ocx

08/12/2003 13:58 3 759 swflash.inf

22/12/2004 02:00 8 137 symaveng.cat

22/12/2004 02:00 900 symaveng.inf

22/12/2004 02:00 7 460 tcdefs.dat

22/12/2004 02:00 390 805 tcscan7.dat

22/12/2004 02:00 65 026 tcscan8.dat

22/12/2004 02:00 231 367 tcscan9.dat

22/12/2004 02:00 453 tinf.dat

22/12/2004 02:00 148 tinfidx.dat

22/12/2004 02:00 1 957 tinfl.dat

22/12/2004 02:00 37 662 tscan1.dat

22/12/2004 02:00 1 179 tscan1hd.dat

22/12/2004 02:00 5 516 v.grd

22/12/2004 02:00 2 225 v.sig

22/12/2004 02:00 106 244 virscan.inf

22/12/2004 02:00 901 795 virscan1.dat

22/12/2004 02:00 527 643 virscan2.dat

22/12/2004 02:00 144 596 virscan3.dat

22/12/2004 02:00 316 532 virscan4.dat

22/12/2004 02:00 80 309 virscan5.dat

22/12/2004 02:00 380 640 virscan6.dat

22/12/2004 02:00 1 701 567 virscan7.dat

22/12/2004 02:00 1 208 192 virscan8.dat

22/12/2004 02:00 1 840 715 virscan9.dat

22/12/2004 02:00 32 virscant.dat

28/12/2004 23:30 2 072 vscanmsx.dat

26/05/2005 04:19 291 wuweb.inf

22/12/2004 02:00 224 zdone.dat

50 fichier(s) 9 992 537 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

29/01/2005 00:37 <REP> .

29/01/2005 00:37 <REP> ..

0 fichier(s) 0 octets

Total des fichiers listés :

50 fichier(s) 9 992 537 octets

5 Rép(s) 62 437 122 048 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Documents and Settings\\Compaq_Propriétaire\\Local Settings\\Temp\\Rar$EX00.484\\utorrent.exe"="C:\\Documents and Settings\\Compaq_Propriétaire\\Local Settings\\Temp\\Rar$EX00.484\\utorrent.exe:*:Enabled:µTorrent"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:Microsoft ActiveSync"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Disabled:AOL France"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-18 18:07:16

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:453b781f

"s2"=dword:099f29f6

"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:43,0d,75,f5,a1,5e,43,1e,06,55,d4,6f,69,03,7f,99,5d,58,33,da,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:5d,bb,8f,f9,29,d2,dc,e5,40,ab,97,5c,3a,9e,36,92,5a,c5,76,8b,e2,..

"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,65,3c,35,86,82,29,30,1f,bd,d8,7e,f8,23,6b,4d,1e,1b,..

"khjeh"=hex:f6,a3,22,8b,87,33,35,e3,17,0b,37,62,d6,7d,90,19,5f,5a,4e,f8,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:68,04,94,48,9d,48,2e,9c,c7,cf,99,85,76,20,6d,d1,23,ee,16,4e,14,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:43,0d,75,f5,a1,5e,43,1e,06,55,d4,6f,69,03,7f,99,5d,58,33,da,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:5d,bb,8f,f9,29,d2,dc,e5,40,ab,97,5c,3a,9e,36,92,5a,c5,76,8b,e2,..

"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,65,3c,35,86,82,29,30,1f,bd,d8,7e,f8,23,6b,4d,1e,1b,..

"khjeh"=hex:f6,a3,22,8b,87,33,35,e3,17,0b,37,62,d6,7d,90,19,5f,5a,4e,f8,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:68,04,94,48,9d,48,2e,9c,c7,cf,99,85,76,20,6d,d1,23,ee,16,4e,14,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

536 - dllhost.exe

772 - nvsvc32.exe

796 - csrss.exe

820 - winlogon.exe

864 - services.exe

876 - lsass.exe

1032 - svchost.exe

1100 - svchost.exe

1196 - svchost.exe

1232 - svchost.exe

1396 - SymWSC.exe

1592 - explorer.exe

1596 - svchost.exe

1784 - CCEVTMGR.EXE

1856 - CCPROXY.EXE

1868 - PIFSvc.exe

1900 - SNDSrvc.exe

2172 - usnsvc.exe

2208 - CCAPP.EXE

2384 - GoogleToolbarNo

2404 - msmsgs.exe

2436 - wcescomm.exe

2760 - alg.exe

3272 - svchost.exe

3672 - msnmsgr.exe

3848 - iexplore.exe

3888 - cmd.exe

Total number of processes = 28

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F899F000 - \WINDOWS\system32\KDCOM.DLL

F88AF000 - \WINDOWS\system32\BOOTVID.dll

F83B6000 - sptd.sys

F89A1000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F839E000 - \WINDOWS\System32\Drivers\SPTDDRV1.SYS

F836F000 - ACPI.sys

F835E000 - pci.sys

F849F000 - isapnp.sys

F8A67000 - pciide.sys

F871F000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F89A3000 - viaide.sys

F84AF000 - MountMgr.sys

F833F000 - ftdisk.sys

F8727000 - PartMgr.sys

F84BF000 - sfsync02.sys

F84CF000 - VolSnap.sys

F8327000 - atapi.sys

F84DF000 - disk.sys

F84EF000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F8307000 - fltMgr.sys

F82F5000 - sr.sys

F82DE000 - KSecDD.sys

F82CB000 - WudfPf.sys

F823E000 - Ntfs.sys

F8211000 - NDIS.sys

F872F000 - viaagp1.sys

F84FF000 - SISAGPX.sys

F8737000 - sfhlp02.sys

F81FF000 - sfdrv01.sys

F850F000 - ohci1394.sys

F851F000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F81E4000 - Mup.sys

F854F000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F86BF000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F78F7000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

F78E3000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F8847000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS

F86CF000 - \SystemRoot\system32\DRIVERS\imapi.sys

F86DF000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F86EF000 - \SystemRoot\system32\DRIVERS\redbook.sys

F78C0000 - \SystemRoot\system32\DRIVERS\ks.sys

F86FF000 - \SystemRoot\System32\DRIVERS\PcAtip.sys

F884F000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F789D000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F8857000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F7806000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F77E5000 - \SystemRoot\system32\drivers\portcls.sys

F870F000 - \SystemRoot\system32\drivers\drmk.sys

F7785000 - \SystemRoot\system32\drivers\ALCXSENS.SYS

F855F000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys

F773B000 - \SystemRoot\System32\Drivers\dtscsi.sys

F7723000 - \SystemRoot\System32\Drivers\SCSIPORT.SYS

F886F000 - \SystemRoot\system32\DRIVERS\fdc.sys

F7712000 - \SystemRoot\system32\DRIVERS\serial.sys

F898F000 - \SystemRoot\system32\DRIVERS\serenum.sys

F76FE000 - \SystemRoot\system32\DRIVERS\parport.sys

F856F000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F8877000 - \SystemRoot\system32\DRIVERS\PS2.sys

F887F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F8B4B000 - \SystemRoot\system32\DRIVERS\audstub.sys

F857F000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F8993000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F76E7000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F7BE0000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F7BD0000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F8887000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F76D6000 - \SystemRoot\system32\DRIVERS\psched.sys

F7BC0000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F888F000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F8897000 - \SystemRoot\system32\DRIVERS\raspti.sys

F889F000 - \SystemRoot\System32\Drivers\Pcouffin.sys

F7BB0000 - \SystemRoot\system32\DRIVERS\termdd.sys

F88A7000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F89C3000 - \SystemRoot\system32\DRIVERS\swenum.sys

F76A2000 - \SystemRoot\system32\DRIVERS\update.sys

F81BC000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F7BA0000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7B70000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F89CB000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F878F000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F89DD000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F8AB5000 - \SystemRoot\System32\Drivers\Null.SYS

F89DF000 - \SystemRoot\System32\Drivers\Beep.SYS

F879F000 - \SystemRoot\System32\drivers\vga.sys

F89E1000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F89E3000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F87A7000 - \SystemRoot\System32\Drivers\Msfs.SYS

F87AF000 - \SystemRoot\System32\Drivers\Npfs.SYS

F769E000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F648E000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F6436000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F63FD000 - \SystemRoot\System32\Drivers\SYMTDI.SYS

F63DC000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F858F000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F63B9000 - \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

F859F000 - \SystemRoot\System32\Drivers\SYMREDRV.SYS

F85AF000 - \SystemRoot\system32\DRIVERS\arp1394.sys

F87BF000 - \SystemRoot\System32\Drivers\SYMDNS.SYS

F85BF000 - \SystemRoot\System32\Drivers\SYMNDIS.SYS

F62F3000 - \SystemRoot\System32\Drivers\SYMFW.SYS

F85CF000 - \SystemRoot\System32\Drivers\SYMIDS.SYS

F62C8000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20070913.004\symidsco.sys

F62A0000 - \SystemRoot\system32\DRIVERS\netbt.sys

F627E000 - \SystemRoot\System32\drivers\afd.sys

F85FF000 - \SystemRoot\system32\DRIVERS\netbios.sys

F621C000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys

F767A000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F862F000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F87E7000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F819C000 - \SystemRoot\system32\DRIVERS\srvkp.sys

F6208000 - \??\C:\Program Files\Norton AntiVirus\SAVRTPEL.SYS

F61DD000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F616E000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F863F000 - \SystemRoot\System32\Drivers\Fips.SYS

F610B000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys

F60EC000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

F8198000 - \SystemRoot\system32\DRIVERS\mouhid.sys

F60A1000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F6089000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F8A01000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F896F000 - \SystemRoot\System32\drivers\Dxapi.sys

F880F000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F8B80000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\nv4_disp.dll

F5176000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

F3B31000 - \SystemRoot\system32\drivers\wdmaud.sys

F3D4E000 - \SystemRoot\system32\drivers\sysaudio.sys

F38E8000 - \SystemRoot\system32\DRIVERS\srv.sys

F3797000 - \SystemRoot\system32\DRIVERS\secdrv.sys

F8827000 - \??\C:\WINDOWS\system32\drivers\symlcbrd.sys

F35AF000 - \??\C:\Program Files\Norton AntiVirus\SAVRT.SYS

F34B5000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070917.009\NavEx15.Sys

F3402000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070917.009\NAVENG.Sys

F3312000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F267E000 - \SystemRoot\System32\Drivers\HTTP.sys

F8B9E000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 140

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-18 18:07:16

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:453b781f

"s2"=dword:099f29f6

"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:43,0d,75,f5,a1,5e,43,1e,06,55,d4,6f,69,03,7f,99,5d,58,33,da,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:5d,bb,8f,f9,29,d2,dc,e5,40,ab,97,5c,3a,9e,36,92,5a,c5,76,8b,e2,..

"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,65,3c,35,86,82,29,30,1f,bd,d8,7e,f8,23,6b,4d,1e,1b,..

"khjeh"=hex:f6,a3,22,8b,87,33,35,e3,17,0b,37,62,d6,7d,90,19,5f,5a,4e,f8,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:68,04,94,48,9d,48,2e,9c,c7,cf,99,85,76,20,6d,d1,23,ee,16,4e,14,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:43,0d,75,f5,a1,5e,43,1e,06,55,d4,6f,69,03,7f,99,5d,58,33,da,88,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:5d,bb,8f,f9,29,d2,dc,e5,40,ab,97,5c,3a,9e,36,92,5a,c5,76,8b,e2,..

"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,65,3c,35,86,82,29,30,1f,bd,d8,7e,f8,23,6b,4d,1e,1b,..

"khjeh"=hex:f6,a3,22,8b,87,33,35,e3,17,0b,37,62,d6,7d,90,19,5f,5a,4e,f8,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:68,04,94,48,9d,48,2e,9c,c7,cf,99,85,76,20,6d,d1,23,ee,16,4e,14,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

Logfile of HijackThis v1.99.1

Scan saved at 20:24:25, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Logiciels\HijackThis.exe

C:\Program Files\Symantec\LiveUpdate\AUpdate.exe

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE

C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe