Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

probleme de fermeture de fenetre windows

richard1208

Par richard1208
dans Analyses et éradication malwares

 Partager

Messages recommandés

richard1208 Junior Member

richard1208

Posté(e)
Posté(e)

hello tous le monde les gens.

 

j'ai un probleme.

 

comme tous le monde, nous avons des films sur notre ordi, bah moi des j'ouvre mes dossiers films mes fenetres se ferment authomatiquement.

est ce du à un virus ou un autre probleme

 

voici ma config

 

win xp 2 eme version

amd athlon 64 bit 3000+

1 go ram

 

 

je vous passe le rapports hijackthis

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 11:07:06, on 20/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Messenger Plus! 2\MsgPlus.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\richard\Bureau\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\Ai Booster\OverClk.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1190237356500

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 7700 bytes

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut

 

XP1 ... tu n'es pas à jour puis je savoir pourquoi

 

Reouvre hijackthis et coche

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Clique sur fix checked

 

 

analyseql0.png DiagHelp (Malekal_morte)

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse le, sur ton bureau par exemple.
  • Un nouveau dossier chercher va être créé DiagHelp.
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

 

analyseql0.png CCleaner

 

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

  • Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
  • Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
  • Clique sur Analyse
  • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
  • Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

  • Clique sur l'icône Erreurs situé dans la marge à gauche.
  • Puis clique sur Analyser les erreurs
  • Patiente pendant que CCleaner scanne ton registre.
  • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
  • Tu peux cliquer ensuite sur Corriger les erreurs.
  • Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

 

analyseql0.png AVG AntiSpyware)

 

Télécharges AVG AS

  • Mets-le à jour.
  • Ferme AVG AS. Ne le lance pas tout de suite.
    si tu n'y arrives pas, consultes le tutoriel de Malekal
    ...
  • Lance AVG AS et cliques sur Analyse
  • Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  • Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  • Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  • Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  • Redémarre en mode normal et poste :
    • le rapport AVG AS
    • un nouveau log hijackthis

 

analyseql0.png Kaspersky

  • Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien
  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

++

richard1208 Junior Member

richard1208

Posté(e)
  • Auteur
Posté(e)

voici le rapport

 

DiagHelp version v1.2 - http://www.malekal.com

excute le ven. 21/09/2007 à 21:15:24,37

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

 

C:\WINDOWS\System32\drivers\NSDriver.sys -->20/09/2007 0:24:00

C:\WINDOWS\System32\drivers\AWRTRD.sys -->20/09/2007 0:24:00

C:\WINDOWS\System32\drivers\avipbb.sys -->7/09/2007 12:05:20

C:\WINDOWS\System32\drivers\avgntdd.sys -->9/08/2007 13:04:12

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:20

C:\WINDOWS\System32\drivers\AWRTPD.sys -->4/06/2007 15:14:56

C:\WINDOWS\System32\drivers\ssmdrv.sys -->1/03/2007 10:34:38

 

C:\WINDOWS\System32\nmp.log -->21/09/2007 21:11:54

C:\WINDOWS\System32\_nvidia_xxx_.log -->21/09/2007 21:09:38

C:\WINDOWS\System32\nvapps.xml -->21/09/2007 21:09:28

C:\WINDOWS\System32\PerfStringBackup.INI -->21/09/2007 3:47:42

C:\WINDOWS\System32\perfh00C.dat -->21/09/2007 3:47:42

C:\WINDOWS\System32\perfc00C.dat -->21/09/2007 3:47:42

C:\WINDOWS\System32\perfh009.dat -->21/09/2007 3:47:42

C:\WINDOWS\System32\perfc009.dat -->21/09/2007 3:47:42

C:\WINDOWS\System32\FNTCACHE.DAT -->21/09/2007 3:43:06

C:\WINDOWS\System32\settings.aaw -->21/09/2007 3:42:36

C:\WINDOWS\System32\history.aaw -->21/09/2007 3:42:36

C:\WINDOWS\System32\TZLog.log -->21/09/2007 3:02:12

C:\WINDOWS\System32\wpa.dbl -->20/09/2007 15:19:44

C:\WINDOWS\System32\spupdwxp.log -->20/09/2007 15:19:32

C:\WINDOWS\System32\tmp.txt -->20/09/2007 3:21:22

C:\WINDOWS\System32\tmp.reg -->20/09/2007 3:21:22

C:\WINDOWS\System32\app_filter_ui.log -->20/09/2007 0:04:44

C:\WINDOWS\System32\amcompat.tlb -->19/09/2007 23:56:56

C:\WINDOWS\System32\nscompat.tlb -->19/09/2007 23:56:56

C:\WINDOWS\System32\oeminfo.ini -->19/09/2007 22:58:40

C:\WINDOWS\System32\$winnt$.inf -->19/09/2007 22:20:50

C:\WINDOWS\System32\CONFIG.NT -->19/09/2007 22:18:46

C:\WINDOWS\System32\WindowsLogon.manifest -->19/09/2007 22:18:16

C:\WINDOWS\System32\logonui.exe.manifest -->19/09/2007 22:18:16

C:\WINDOWS\System32\cdplayer.exe.manifest -->19/09/2007 22:18:14

 

C:\WINDOWS\bootstat.dat -->21/09/2007 21:09:14

C:\WINDOWS\WindowsUpdate.log -->21/09/2007 21:08:32

C:\WINDOWS\War3Unin.dat -->20/09/2007 18:35:08

C:\WINDOWS\War3Unin.pif -->20/09/2007 18:30:44

C:\WINDOWS\War3Unin.exe -->20/09/2007 18:30:44

C:\WINDOWS\WMSysPr9.prx -->20/09/2007 15:19:38

C:\WINDOWS\WMSysPrx.prx -->20/09/2007 14:46:08

C:\WINDOWS\Setup1.exe -->20/09/2007 3:31:06

C:\WINDOWS\ST6UNST.EXE -->20/09/2007 3:31:06

C:\WINDOWS\A8NE1013.zip -->20/09/2007 0:19:06

C:\WINDOWS\Ascd_tmp.ini -->20/09/2007 0:05:54

C:\WINDOWS\Nomdefichier -->19/09/2007 23:58:00

C:\WINDOWS\win.ini -->19/09/2007 23:56:56

C:\WINDOWS\setupapi.log.0.old -->19/09/2007 23:35:04

C:\WINDOWS\REGLOCS.OLD -->19/09/2007 22:21:32

 

 

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\WINDOWS\system32

 

20/08/2004 01:09 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 12.596.543.488 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

19/09/2007 22:18 <REP> .

19/09/2007 22:18 <REP> ..

19/09/2007 22:18 65 desktop.ini

30/07/2007 19:24 293 wuweb.inf

11/06/2007 12:21 5.021 swflash.inf

20/01/2000 15:25 1.162 Microsoft XML Parser for Java.osd

4 fichier(s) 6.541 octets

 

Total des fichiers listés :

4 fichier(s) 6.541 octets

2 Rép(s) 12.596.543.488 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Warcraft III\\Warcraft III.exe"="C:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\\Program Files\\Warcraft III\\War3.exe"="C:\\Program Files\\Warcraft III\\War3.exe:*:Enabled:Warcraft III"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

127.0.0.1 activexupdate.com

127.0.0.1 www.activexupdate.com

127.0.0.1 msupdater.net

127.0.0.1 www.msupdater.net

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 spyfalconupdate.com

127.0.0.1 www.spyfalconupdate.com

127.0.0.1 spyaxeupdate.com

127.0.0.1 www.spyaxeupdate.com

127.0.0.1 necessaryupdates.com

127.0.0.1 www.necessaryupdates.com

127.0.0.1 systemupdates.net

127.0.0.1 www.systemupdates.net

127.0.0.1 updates.spywarequake.com

127.0.0.1 urgentsystemupdate.com

127.0.0.1 www.urgentsystemupdate.com

127.0.0.1 urgentsystemupdate.biz

127.0.0.1 www.urgentsystemupdate.biz

127.0.0.1 trial.updates.winsoftware.com

127.0.0.1 lavasoftupdate.com

127.0.0.1 www.lavasoftupdate.com

127.0.0.1 windupdates.com

127.0.0.1 securityupdatesite.com

127.0.0.1 www.securityupdatesite.com

127.0.0.1 newupdates.lzio.com

127.0.0.1 msupdate.net

127.0.0.1 www.msupdate.net

127.0.0.1 redirect.msupdate.net

127.0.0.1 eupdatepage.com

127.0.0.1 www.eupdatepage.com

127.0.0.1 updatemysettings.com

127.0.0.1 www.updatemysettings.com

127.0.0.1 settings.updatemysettings.com

127.0.0.1 search.keyword.exeupdate.com

127.0.0.1 client.exeupdate.com

127.0.0.1 www.exeupdate.com

127.0.0.1 hotwinupdates.com

127.0.0.1 www.hotwinupdates.com

127.0.0.1 avpcheckupdate.com

127.0.0.1 www.avpcheckupdate.com

127.0.0.1 exeupdate.com

127.0.0.1 malwarewipeupdate.com

127.0.0.1 pandaantivirus-2007.com

127.0.0.1 www.pandaantivirus-2007.com

127.0.0.1 pandadownload-now.com

127.0.0.1 www.pandadownload-now.com

127.0.0.1 panda-hq.com

127.0.0.1 www.panda-hq.com

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-21 21:15:29

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

152 - sched.exe

204 - ATKKBService.ex

380 - nSvcIp.exe

536 - csrss.exe

540 - nvsvc32.exe

560 - winlogon.exe

604 - services.exe

616 - lsass.exe

768 - svchost.exe

828 - svchost.exe

920 - svchost.exe

1108 - aawservice.exe

1164 - nSvcAppFlt.exe

1252 - apache.exe

1356 - Explorer.EXE

1428 - avguard.exe

1628 - MsgPlus.exe

1652 - nTrayFw.exe

1672 - avgnt.exe

1704 - ctfmon.exe

1712 - CursorXP.exe

1728 - TeaTimer.exe

1824 - eMule.exe

1856 - RocketDock.exe

3300 - wmiprvse.exe

3424 - alg.exe

3916 - cmd.exe

 

Total number of processes = 28

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806CE000 - \WINDOWS\system32\hal.dll

F7ADC000 - \WINDOWS\system32\KDCOM.DLL

F79EC000 - \WINDOWS\system32\BOOTVID.dll

F74B8000 - xmasbus.sys

F7496000 - d343bus.sys

F7467000 - ACPI.sys

F7ADE000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

F7456000 - pci.sys

F75DC000 - isapnp.sys

F7BA4000 - pciide.sys

F785C000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

F75EC000 - MountMgr.sys

F7437000 - ftdisk.sys

F7AE0000 - dmload.sys

F7411000 - dmio.sys

F7864000 - PartMgr.sys

F75FC000 - VolSnap.sys

F73F9000 - atapi.sys

F7AE2000 - d343port.sys

F73E1000 - \WINDOWS\System32\DRIVERS\SCSIPORT.SYS

F7AE4000 - xmasscsi.sys

F73CA000 - nvata.sys

F760C000 - disk.sys

F761C000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

F73AA000 - fltmgr.sys

F7398000 - sr.sys

F762C000 - avgntmgr.sys

F7375000 - Fastfat.sys

F735E000 - KSecDD.sys

F7331000 - NDIS.sys

F7316000 - Mup.sys

F765C000 - \SystemRoot\System32\DRIVERS\AmdK8.sys

F794C000 - \SystemRoot\System32\DRIVERS\usbohci.sys

F7283000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

F797C000 - \SystemRoot\System32\DRIVERS\usbehci.sys

F7052000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F702E000 - \SystemRoot\system32\drivers\portcls.sys

F766C000 - \SystemRoot\system32\drivers\drmk.sys

F700B000 - \SystemRoot\system32\drivers\ks.sys

F767C000 - \SystemRoot\System32\DRIVERS\imapi.sys

F768C000 - \SystemRoot\System32\DRIVERS\cdrom.sys

F769C000 - \SystemRoot\System32\DRIVERS\redbook.sys

F7AB8000 - \SystemRoot\System32\DRIVERS\nvnetbus.sys

F6FCB000 - \SystemRoot\System32\DRIVERS\NVNRM.SYS

F6F98000 - \SystemRoot\System32\DRIVERS\NVSNPU.SYS

F6C4C000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys

F6C38000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

F7AE8000 - \SystemRoot\System32\DRIVERS\ASACPI.sys

F790C000 - \SystemRoot\System32\DRIVERS\fdc.sys

F6C27000 - \SystemRoot\System32\DRIVERS\serial.sys

F7ACC000 - \SystemRoot\System32\DRIVERS\serenum.sys

F6C13000 - \SystemRoot\System32\DRIVERS\parport.sys

F76AC000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

F7954000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

F7CE8000 - \SystemRoot\system32\drivers\msmpu401.sys

F7AD8000 - \SystemRoot\System32\DRIVERS\gameenum.sys

F7CEB000 - \SystemRoot\System32\DRIVERS\audstub.sys

F76BC000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

F72EE000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

F6BFC000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

F76CC000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

F76DC000 - \SystemRoot\System32\DRIVERS\raspptp.sys

F79A4000 - \SystemRoot\System32\DRIVERS\TDI.SYS

F79B4000 - \SystemRoot\System32\DRIVERS\ptilink.sys

F79C4000 - \SystemRoot\System32\DRIVERS\raspti.sys

F6BCB000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

F76EC000 - \SystemRoot\System32\DRIVERS\termdd.sys

F7894000 - \SystemRoot\System32\DRIVERS\mouclass.sys

F7AEE000 - \SystemRoot\System32\DRIVERS\swenum.sys

F72C2000 - \SystemRoot\System32\DRIVERS\mssmbios.sys

F76FC000 - \SystemRoot\System32\DRIVERS\usbhub.sys

F7AF2000 - \SystemRoot\System32\DRIVERS\USBD.SYS

F770C000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F771C000 - \SystemRoot\System32\DRIVERS\NVENETFD.sys

F78D4000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

F773C000 - \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys

F7AFA000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7BAA000 - \SystemRoot\System32\Drivers\Null.SYS

F7AFE000 - \SystemRoot\System32\Drivers\Beep.SYS

F7904000 - \SystemRoot\System32\drivers\vga.sys

F7B02000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7B06000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F791C000 - \SystemRoot\System32\Drivers\Msfs.SYS

F792C000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7AA8000 - \SystemRoot\System32\DRIVERS\rasacd.sys

F49A8000 - \SystemRoot\System32\DRIVERS\ipsec.sys

F774C000 - \SystemRoot\System32\DRIVERS\msgpc.sys

F4950000 - \SystemRoot\System32\DRIVERS\tcpip.sys

F4937000 - \SystemRoot\System32\DRIVERS\NVTcp.sys

F4916000 - \SystemRoot\System32\DRIVERS\ipnat.sys

F775C000 - \SystemRoot\System32\DRIVERS\wanarp.sys

F48EE000 - \SystemRoot\System32\DRIVERS\netbt.sys

F7AD4000 - \SystemRoot\System32\drivers\ws2ifsl.sys

F48CC000 - \SystemRoot\System32\drivers\afd.sys

F776C000 - \SystemRoot\System32\DRIVERS\netbios.sys

F7934000 - \SystemRoot\System32\DRIVERS\ssmdrv.sys

F48A1000 - \SystemRoot\System32\DRIVERS\rdbss.sys

F4832000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

F778C000 - \SystemRoot\System32\Drivers\Fips.SYS

F779C000 - \SystemRoot\System32\DRIVERS\avipbb.sys

F78E4000 - \SystemRoot\system32\drivers\atkkbnt.sys

F7B0E000 - \SystemRoot\system32\drivers\AsIO.sys

F477D000 - \SystemRoot\System32\Drivers\Ntfs.SYS

F78F4000 - \SystemRoot\System32\DRIVERS\usbiad.sys

F481E000 - \SystemRoot\System32\DRIVERS\hidusb.sys

F77BC000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

F7924000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

F7944000 - \SystemRoot\System32\DRIVERS\usbccgp.sys

F4816000 - \SystemRoot\System32\DRIVERS\mouhid.sys

F77CC000 - \SystemRoot\system32\drivers\usbaudio.sys

F7974000 - \SystemRoot\System32\DRIVERS\usbprint.sys

F798C000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

F77DC000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F46C6000 - \SystemRoot\System32\Drivers\dump_nvata.sys

F7B24000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F6BA7000 - \SystemRoot\System32\drivers\Dxapi.sys

F78BC000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7C49000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\atkdisp.dll

BFA02000 - \SystemRoot\System32\nv4_disp.dll

F3559000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

F2AB8000 - \SystemRoot\system32\drivers\wdmaud.sys

F474D000 - \SystemRoot\system32\drivers\sysaudio.sys

F2885000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

F7B5A000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F7CFC000 - \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys

F277D000 - \??\C:\WINDOWS\system32\drivers\EIO.sys

F25DB000 - \SystemRoot\System32\DRIVERS\srv.sys

F7BE0000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 132

 

Liste des programmes installes

 

Ad-Aware 2007

Adobe Reader 7.0

Ai Booster

Ai Selector

Alcohol 120%

Archiveur WinRAR

ASUS Enhanced Display Driver

ASUSUpdate

Athlon 64 Processor Driver

Avira AntiVir PersonalEdition Classic

CCleaner (remove only)

Cool & Quiet

CursorXP

DAEMON Tools

Driver Genius Professional Edition 2005 5.3.016

eMule

K-Lite Codec Pack 2.20 Full

Kit d'installation

Messenger Plus!

Mise à jour de sécurité pour Windows XP (KB904706)

Nero 6 Ultra Edition

NVIDIA Drivers

NVIDIA ForceWare Network Access Manager

NVIDIA ForceWare Network Access Manager

NVIDIA nTune

NVIDIA nTune

Optimisation Windows

Realtek AC'97 Audio

RocketDock 1.3.5

Shockwave

Spybot - Search & Destroy

Spybot - Search & Destroy 1.2

Switch Off

USB MODEM Driver

VideoLAN VLC media player 0.8.6c

WebFldrs XP

Winamp (remove only)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Live Messenger

Windows XP Service Pack 2

WinISO 5.3

Zeb-Utility 1.2

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\Program Files

 

19/09/2007 19:19 <REP> .

19/09/2007 19:19 <REP> ..

19/09/2007 23:05 <REP> Adobe

19/12/2003 12:54 <REP> Ahead

19/09/2007 23:06 <REP> Alcohol Soft

19/09/2007 23:56 <REP> AMD

19/09/2007 23:59 <REP> ASUS

20/09/2007 00:47 <REP> ASUSTeK

20/09/2007 00:24 <REP> Avira

19/09/2007 23:56 <REP> AvRack

20/09/2007 13:30 <REP> CCleaner

19/09/2007 23:01 <REP> Common Files

19/09/2007 22:16 <REP> ComPlus Applications

21/09/2007 11:49 <REP> Driver-Soft

19/09/2007 23:05 <REP> D-Tools

23/12/2003 23:48 <REP> eMule

19/09/2007 19:19 <REP> Fichiers communs

19/09/2007 22:16 <REP> Internet Explorer

19/09/2007 23:22 <REP> Kit ADSL

19/09/2007 23:06 <REP> K-Lite Codec Pack

20/09/2007 00:21 <REP> Lavasoft

20/09/2007 14:45 <REP> messenger

20/12/2003 23:31 <REP> Messenger Plus! 2

19/09/2007 22:18 <REP> microsoft frontpage

19/09/2007 22:18 <REP> movie maker

19/09/2007 22:18 <REP> msn gaming zone

19/09/2007 23:06 <REP> MSN Messenger

19/09/2007 22:16 <REP> NetMeeting

19/09/2007 23:56 <REP> NVIDIA Corporation

20/09/2007 03:31 <REP> Optimisation Windows

19/09/2007 22:16 <REP> Outlook Express

19/09/2007 23:57 <REP> Realtek Sound Manager

20/09/2007 13:34 <REP> RocketDock

19/09/2007 22:18 <REP> Services en ligne

19/09/2007 23:07 <REP> Spybot - Search & Destroy

19/09/2007 23:08 <REP> Switch Off

19/09/2007 23:22 <REP> USB Driver-Express

20/09/2007 00:18 <REP> VideoLAN

20/09/2007 01:36 <REP> Warcraft III

24/12/2003 00:15 <REP> Winamp

19/09/2007 22:18 <REP> windows media player

19/09/2007 22:16 <REP> Windows NT

24/12/2003 00:02 <REP> WinISO

19/09/2007 23:05 <REP> WinRAR

19/09/2007 22:18 <REP> xerox

20/09/2007 13:30 <REP> Yahoo!

20/09/2007 13:21 <REP> Zeb-Utility

0 fichier(s) 0 octets

47 Rép(s) 12.595.986.432 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\Program Files\fichiers communs

 

19/09/2007 19:19 <REP> .

19/09/2007 19:19 <REP> ..

19/09/2007 22:16 <REP> Microsoft Shared

19/09/2007 22:16 <REP> System

19/09/2007 22:17 <REP> MSSoap

19/09/2007 22:17 <REP> Services

19/09/2007 22:18 <REP> ODBC

19/09/2007 22:18 <REP> speechengines

19/09/2007 23:05 <REP> Ahead

19/09/2007 23:21 <REP> InstallShield

20/09/2007 00:02 <REP> Adobe

20/09/2007 00:21 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

12 Rép(s) 12.596.494.336 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

19/09/2007 23:10 <REP> .

19/09/2007 23:10 <REP> ..

18/05/2001 17:57 561.209 MSONSEXT.DLL

07/03/2001 09:00 127.033 MSOWS40c.DLL

03/06/1999 14:09 122.937 MSOWS409.DLL

3 fichier(s) 811.179 octets

2 Rép(s) 12.596.494.336 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\Program Files\common files

 

19/09/2007 23:01 <REP> .

19/09/2007 23:01 <REP> ..

19/09/2007 23:01 <REP> System

0 fichier(s) 0 octets

3 Rép(s) 12.596.494.336 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est EC25-19C5

 

Répertoire de C:\

 

20/09/2007 11:06 1.308.216 HiJackThis_v2.exe

1 fichier(s) 1.308.216 octets

0 Rép(s) 12.596.494.336 octets libres

 

 

 

 

c:\Documents and Settings\richard\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\richard\Bureau\eMule0.48a-Installer.exe

c:\Documents and Settings\richard\Bureau\Setup_Zeb-Utility.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\exit.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\Reboot.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\richard\Bureau\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\richard\Bureau\logiciel\aaw2007.exe

c:\Documents and Settings\richard\Bureau\logiciel\ccsetup200.exe

c:\Documents and Settings\richard\Bureau\logiciel\RocketDock-v1.3.5.exe

c:\Documents and Settings\richard\Bureau\logiciel\spybotsd15.exe

c:\Documents and Settings\richard\Bureau\logiciel\vlc-0.8.6c-win32.exe

c:\Documents and Settings\richard\Bureau\logiciel\ZebProtect.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\richard\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll

 

****** Fin du rapport DiagHelp

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...