Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un Trojan squate mon PC

Aie!

Par Aie!
dans Analyses et éradication malwares

 Partager

Messages recommandés

Zonk Godlike Member

Zonk

Posté(e)
Posté(e)
salut zonk :P

 

Oui tu as raison! ce n'est pas bien méchant, mais on peux faire fixer quand même >

 

Aie, démarre Hijackthis et clique sur la case "Do a system scan only", puis coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

-Ferme tous les programmes et clique sur "Fix Checked"

Suite à cela considères tu le travail de désinfection complèté??

merci

Aie! Member

Aie!

Posté(e)
  • Auteur
Posté(e)

Bonjour Charles,

 

salut @ vous deux :P

 

Aie! , peux tu nous donner la localisation de l'infection, le nom du fichier ? Tu as bien fait de remplacer Avast! par Antivir...

Le nom du trojan est : Win32Adloader-AC[Trj]

 

 

J'utilise Antivir depuis depuis que j'ai une connexion, plus de deux ans, et je n'ai jamais eu de souci. Pour Avast, je ne sais plus pourquoi je l'avais installé. :P

 

 

 

salut zonk :P

 

Oui tu as raison! ce n'est pas bien méchant, mais on peux faire fixer quand même >

 

Aie, démarre Hijackthis et clique sur la case "Do a system scan only", puis coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

-Ferme tous les programmes et clique sur "Fix Checked"

C'est fait. Le O2 - BHO a été un peu récalcitrant : j'ai vérifié après l'avoir fixé en même temps que l'autre, mais il y était encore. J'ai dû m'y reprendre à trois fois pour le voir enfin disparu.

 

 

Autre chose à faire ?

Zonk Godlike Member

Zonk

Posté(e)
Posté(e)
Bonjour Charles,

Le nom du trojan est : Win32Adloader-AC[Trj]

J'utilise Antivir depuis depuis que j'ai une connexion, plus de deux ans, et je n'ai jamais eu de souci. Pour Avast, je ne sais plus pourquoi je l'avais installé. :P

C'est fait. Le O2 - BHO a été un peu récalcitrant : j'ai vérifié après l'avoir fixé en même temps que l'autre, mais il y était encore. J'ai dû m'y reprendre à trois fois pour le voir enfin disparu.

Autre chose à faire ?

Charles I. te confirmera le tout prochainment.......mais ca annonce bien!!

@+

Aie! Member

Aie!

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour !

 

Avant de charger et lancer Diaghelp, je signale le message reçu ce matin lors du lancement de Windows. Pour faire simple, voici les screens :

 

screenshot093jb0.png

screenshot094hb9.png

screenshot095zk6.png

 

 

 

Voici le rapport Diaghelp (une sacrée tartine!) :

DiagHelp version v1.2 - http://www.malekal.com

excute le ven. 28/09/2007 à 9:45:17,75

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->28/09/2007 9:41:30

C:\WINDOWS\prefetch\UPDCLIENT.EXE-06442ED2.pf -->28/09/2007 9:39:56

C:\WINDOWS\prefetch\GETPOPUPINFO.EXE-07540401.pf -->28/09/2007 9:35:31

C:\WINDOWS\prefetch\FIREFOX.EXE-06188867.pf -->28/09/2007 9:28:14

C:\WINDOWS\prefetch\PRINTSCREEN.EXE-13DBD4FB.pf -->28/09/2007 9:26:07

C:\WINDOWS\prefetch\DWWIN.EXE-2C373FB7.pf -->28/09/2007 9:24:42

C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->28/09/2007 9:24:40

C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->28/09/2007 9:24:38

C:\WINDOWS\prefetch\IMAPI.EXE-201490BB.pf -->28/09/2007 9:24:38

C:\WINDOWS\prefetch\SGMAIN.EXE-08971682.pf -->28/09/2007 9:24:37

 

C:\WINDOWS\System32\drivers\avipbb.sys -->7/09/2007 12:05:19

C:\WINDOWS\System32\drivers\avgntdd.sys -->9/08/2007 13:04:11

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:19

C:\WINDOWS\System32\drivers\secdrv.sys -->6/07/2007 15:22:33

C:\WINDOWS\System32\drivers\sp_rsdrv2.sys -->27/06/2007 11:00:22

C:\WINDOWS\System32\drivers\103C_HP_CPC_EJ246AA-B14

 

w5280.be_YC_0Pavi_QCZD541_E54FRheBLU1_48_ILITHIUM_SASUSTek Computer

 

INC._V1.04_B3.08_T050912_WXH2_L40C_M1023_J200_7Intel_8Pentium

 

D_93_#070522_N168C001B_Z_G10025B62.MRK -->22/05/2007 13:28:45

C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 12:32:54

 

C:\WINDOWS\System32\vsconfig.xml -->28/09/2007 9:23:33

C:\WINDOWS\System32\CONFIG.NT -->27/09/2007 10:19:19

C:\WINDOWS\System32\PDBootState -->14/09/2007 9:48:50

C:\WINDOWS\System32\qttask.exe -->8/09/2007 2:49:39

C:\WINDOWS\System32\MRT.exe -->6/09/2007 4:50:42

C:\WINDOWS\System32\TZLog.log -->31/08/2007 20:32:46

C:\WINDOWS\System32\FNTCACHE.DAT -->26/08/2007 10:48:22

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->6/08/2007 16:36:56

C:\WINDOWS\System32\zllictbl.dat -->4/08/2007 17:28:21

C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52

C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42

C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36

C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32

C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28

C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28

C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20

C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16

C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12

C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04

C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48

C:\WINDOWS\System32\wups.dll -->30/07/2007 19:18:40

C:\WINDOWS\System32\wpa.dbl -->23/07/2007 14:42:01

C:\WINDOWS\System32\tzchange.exe -->18/07/2007 14:42:22

C:\WINDOWS\System32\PerfStringBackup.INI -->12/07/2007 10:13:03

 

C:\WINDOWS.log -->28/09/2007 9:23:46

C:\WINDOWS\WindowsUpdate.log -->28/09/2007 9:23:44

C:\WINDOWS\bootstat.dat -->28/09/2007 9:23:28

C:\WINDOWS\SchedLgU.Txt -->28/09/2007 9:22:10

C:\WINDOWS\system.ini -->8/09/2007 13:50:33

C:\WINDOWS\HP_CounterReport_Update_HPSU.ini -->22/06/2007 15:08:50

C:\WINDOWS\HP_48BitScanUpdatePatch.ini -->22/06/2007 15:08:40

C:\WINDOWS\HP_InstantSHareJPG.ini -->22/06/2007 15:06:22

C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini -->22/06/2007 15:06:05

C:\WINDOWS\explorer.exe -->13/06/2007 15:22:28

C:\WINDOWS\HP_RedboxHprblog_HPSU.ini -->23/05/2007 14:34:02

C:\WINDOWS\setupapi.log.0.old -->23/05/2007 7:38:09

C:\WINDOWS\mozver.dat -->22/05/2007 14:48:50

C:\WINDOWS\nsreg.dat -->22/05/2007 14:45:19

C:\WINDOWS\_MSRSTRT.EXE -->22/05/2007 14:05:57

 

 

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 18:04 52.736 hpsysdrv.exe

1 fichier(s) 52.736 octets

0 Rép(s) 32.226.324.480 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 20:00 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 32.226.324.480 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

27/09/2007 17:45 <REP> .

27/09/2007 17:45 <REP> ..

23/11/2004 23:20 65 desktop.ini

08/08/2006 11:45 576 kavwebscan.inf

27/03/2007 16:00 5.021 swflash.inf

3 fichier(s) 5.662 octets

 

Total des fichiers listés :

3 fichier(s) 5.662 octets

2 Rép(s) 32.226.324.480 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,

 

-22019"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program

 

Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program

 

Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital

 

Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL

 

France"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN

 

Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN

 

Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,

 

-22019"

"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN

 

Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN

 

Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

 

http://www.gmer.net

Rootkit scan 2007-09-28 09:45:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

244 - sp_rsser.exe

420 - spoolsv.exe

468 - avguard.exe

788 - csrss.exe

868 - winlogon.exe

960 - services.exe

972 - lsass.exe

1172 - svchost.exe

1252 - svchost.exe

1364 - svchost.exe

1480 - sched.exe

1560 - svchost.exe

1572 - vsmon.exe

1800 - ati2evxx.exe

1944 - explorer.exe

2548 - RTHDCPL.EXE

2572 - atiptaxx.exe

2816 - WinPatrol.exe

2940 - zlclient.exe

2984 - avgnt.exe

3052 - msnmsgr.exe

3184 - hpqtra08.exe

3208 - sgmain.exe

3656 - sgbhp.exe

3956 - firefox.exe

5788 - cmd.exe

 

Total number of processes = 27

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806E2000 - \WINDOWS\system32\hal.dll

F7B10000 - \WINDOWS\system32\KDCOM.DLL

F7A20000 - \WINDOWS\system32\BOOTVID.dll

F74E0000 - ACPI.sys

F7B12000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F74CF000 - pci.sys

F7610000 - isapnp.sys

F7620000 - ohci1394.sys

F7630000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F7BD8000 - pciide.sys

F7890000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F7B14000 - viaide.sys

F7B16000 - intelide.sys

F7640000 - MountMgr.sys

F74B0000 - ftdisk.sys

F7898000 - PartMgr.sys

F7650000 - VolSnap.sys

F7498000 - atapi.sys

F7660000 - disk.sys

F7670000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F7478000 - fltMgr.sys

F78A0000 - PxHelp20.sys

F7461000 - KSecDD.sys

F7680000 - Defrag32b.sys

F73D4000 - Ntfs.sys

F73A7000 - NDIS.sys

F7393000 - srescan.sys

F7378000 - Mup.sys

F76B0000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F7840000 - \SystemRoot\system32\DRIVERS\intelppm.sys

F71C7000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F71B3000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F718E000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys

F79B0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F716B000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F79B8000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F6EC2000 - \SystemRoot\system32\DRIVERS\3xHybrid.sys

F6E9F000 - \SystemRoot\system32\DRIVERS\ks.sys

F7AE4000 - \SystemRoot\system32\DRIVERS\BdaSup.SYS

F6E79000 - \SystemRoot\system32\DRIVERS\e100b325.sys

F6E65000 - \SystemRoot\system32\DRIVERS\parport.sys

F7850000 - \SystemRoot\system32\DRIVERS\imapi.sys

F7B34000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

F7860000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F7870000 - \SystemRoot\system32\DRIVERS\redbook.sys

F7C8B000 - \SystemRoot\system32\DRIVERS\audstub.sys

F7880000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7AF0000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F6E4E000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F76C0000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F76D0000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F79C0000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F6E17000 - \SystemRoot\system32\DRIVERS\psched.sys

F76E0000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F79D0000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F79D8000 - \SystemRoot\system32\DRIVERS\raspti.sys

F76F0000 - \SystemRoot\system32\DRIVERS\termdd.sys

F79E0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F79E8000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F7700000 - \SystemRoot\system32\drivers\SaiBus.sys

F7B36000 - \SystemRoot\system32\DRIVERS\swenum.sys

F6D1E000 - \SystemRoot\system32\DRIVERS\update.sys

F7AFC000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F7710000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7350000 - \SystemRoot\system32\DRIVERS\SaiMini.sys

F7720000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F79F0000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F734C000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

F7348000 - \SystemRoot\system32\DRIVERS\mouhid.sys

AACE1000 - \SystemRoot\system32\drivers\RtkHDAud.sys

AACBF000 - \SystemRoot\system32\drivers\portcls.sys

F7750000 - \SystemRoot\system32\drivers\drmk.sys

F7760000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7B3A000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F7B3C000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7C3A000 - \SystemRoot\System32\Drivers\Null.SYS

F7B3E000 - \SystemRoot\System32\Drivers\Beep.SYS

F7A10000 - \SystemRoot\System32\drivers\vga.sys

F7B40000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7B42000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7A18000 - \SystemRoot\System32\Drivers\Msfs.SYS

F78B0000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7AAC000 - \SystemRoot\system32\DRIVERS\rasacd.sys

AAC64000 - \SystemRoot\system32\DRIVERS\ipsec.sys

AAC0C000 - \SystemRoot\system32\DRIVERS\tcpip.sys

AABE4000 - \SystemRoot\system32\DRIVERS\netbt.sys

AABC3000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F7780000 - \SystemRoot\system32\DRIVERS\wanarp.sys

AAB64000 - \SystemRoot\System32\vsdatant.sys

F7790000 - \SystemRoot\system32\DRIVERS\arp1394.sys

AAB1A000 - \SystemRoot\System32\drivers\afd.sys

F77A0000 - \SystemRoot\system32\DRIVERS\netbios.sys

F78D8000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

AAAF8000 - \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

AAACD000 - \SystemRoot\system32\DRIVERS\rdbss.sys

AAA5E000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F77B0000 - \SystemRoot\System32\Drivers\Fips.SYS

F7B44000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

F77C0000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F7B46000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

AA99B000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F77E0000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F78E8000 - \SystemRoot\system32\DRIVERS\SaiU0004.sys

F6D1A000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F78F0000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F78F8000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

AA946000 - \SystemRoot\system32\DRIVERS\SaiH0004.sys

F6D12000 - \SystemRoot\system32\DRIVERS\SaiL0004.sys

AA92E000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7B62000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

AACBB000 - \SystemRoot\System32\drivers\Dxapi.sys

F7908000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7D29000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA17000 - \SystemRoot\System32\ati2cqag.dll

BFA51000 - \SystemRoot\System32\atikvmag.dll

BFA87000 - \SystemRoot\System32\ati3duag.dll

BFCEE000 - \SystemRoot\System32\ativvaxx.dll

A8832000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

A8351000 - \SystemRoot\system32\drivers\wdmaud.sys

A8456000 - \SystemRoot\system32\drivers\sysaudio.sys

A82C8000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

A824B000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

A83BE000 - \SystemRoot\System32\Drivers\Defrag32.SYS

A811A000 - \SystemRoot\System32\Drivers\HTTP.sys

A80A0000 - \SystemRoot\system32\DRIVERS\srv.sys

A7FD8000 - \SystemRoot\system32\DRIVERS\secdrv.sys

F7C3C000 - \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys

F7CA4000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 132

 

Liste des programmes installes

 

a-squared Anti-Dialer 3.0

a-squared Free 3.0

a-squared HiJackFree 3.0

ACE Mega CoDecS Pack

Adobe Flash Player 9 ActiveX

Adobe Flash Player Plugin

AiO_Scan

AiOSoftware

Allegorithmic MaPZone2.Free

aMSN 0.97RC1

Apple Software Update

ArtRage 2 Starter Edition

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Control Panel

ATI Display Driver

Avimator (remove only)

Avira AntiVir PersonalEdition Classic

BufferChm

CameraDrivers

CameraDrivers

Catalyst Control Center Core Implementation

Catalyst Control Center Graphics Full Existing

Catalyst Control Center Graphics Full New

Catalyst Control Center Graphics Light

Catalyst Control Center Graphics Previews Common

ccc-core-preinstall

ccc-core-static

ccc-utility

CCC Help English

CCleaner (remove only)

CloneDVD2

Correctif pour Windows XP (KB935448)

Correctif Windows XP - KB873339

Correctif Windows XP - KB883667

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888239

Correctif Windows XP - KB888302

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Correctif Windows XP - KB893066

CP_AtenaShokunin1Config

CP_CalendarTemplates1

CP_Package_Basic1

CP_Package_Variety1

CP_Package_Variety2

CP_Package_Variety3

CP_Panorama1Config

CueTour

dBpoweramp m4a Codec

dBpoweramp Music Converter

Destinations

DeviceManagementQFolder

DocProc

DocumentViewer

DocumentViewerQFolder

eMule

Enhanced Multimedia Keyboard Solution

EVEREST Home Edition v2.20

Fax

Gadwin PrintScreen

GOM Player

GTK+ 2.10.6-1 runtime environment

HardwareDetection

High Definition Audio - KB888111

HijackThis 1.99.1

Hijackthis Version Française

Home Theater

HP Appareils photos Photosmart 5.0

HP Deskjet Printer Preload

HP Document Viewer 5.3

HP Image Zone 5.3

HP Imaging Device Functions 5.3

HP Photosmart 330,380,420,470,7800,8000,8200 Series

HP PSC & OfficeJet 5.3.B

HP Software Update

HP Solution Center & Imaging Support Tools 5.3

HPProductAssistant

HpSdpAppCoreApp

InstantShareDevices

Intel® PRO Network Connections Drivers

InterVideo Home Theater

J2SE Runtime Environment 5.0

Java 6 Update 2

Java SE Runtime Environment 6 Update 1

Kaspersky Online Scanner

Lecteur Windows Media 10

LightScribe 1.4.39.1

Messenger Plus! 3

Messenger Plus! Live

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0

Microsoft IntelliPoint 5.4

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB929969)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931768)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933566)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB937143)

Mise à jour de sécurité pour Windows XP (KB938127)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB936357)

Mise à jour pour Windows XP (KB938828)

Mozilla Firefox (2.0.0.3)

MSXML 4.0 SP2 (KB925672)

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

NewCopy

PanoStandAlone

PerfectDisk

PhotoGallery

PSPrinters08

PSTAPlugin

QFolder

QuickTime

RandMap

Readme

Real Alternative 1.52

Saitek SST Programming Software

Scan

ScannerCopy

SecondLife (remove only)

Security Update pour Microsoft .NET Framework 2.0 (KB928365)

Skins

SkinsHP1

SolutionCenter

Sonic_PrimoSDK

Spybot - Search & Destroy 1.4

Spyware Terminator

SpywareBlaster v3.5.1

SpywareGuard v2.2

StartupMonitor

Status

StuffPlug 3

The GIMP 2.2.13

The Settlers II - 10th Anniversary

ThumbView_Lite 1.0

TrayApp

Unload

WebFldrs XP

WebReg

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Media Format Runtime

WinPatrol

ZoneAlarm

 

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\Program Files

 

27/09/2007 11:14 <REP> .

27/09/2007 11:14 <REP> ..

08/09/2007 02:48 <REP> ACE Mega CoDecS Pack

27/09/2005 00:26 <REP> Adobe

22/05/2007 13:57 <REP> Agnitum

11/09/2007 13:38 <REP> Allegorithmic

22/05/2007 14:13 <REP> Alwil Software

11/09/2007 13:45 <REP> Ambient Design

13/09/2007 15:06 <REP> aMSN

27/09/2007 11:14 <REP> Apple Software Update

26/09/2007 22:03 <REP> a-squared Anti-Dialer

26/09/2007 22:01 <REP> a-squared Free

24/08/2007 19:03 <REP> a-squared HiJackFree

30/05/2007 16:25 <REP> ATI Technologies

20/09/2007 20:48 <REP> Avimator

27/09/2007 10:25 <REP> Avira

22/05/2007 14:29 <REP> BillP Studios

13/09/2007 23:10 <REP> CCleaner

24/11/2004 03:37 <REP> ComPlus Applications

24/08/2007 15:14 <REP> Crawler

24/05/2007 10:11 <REP> Easy Internet signup

14/06/2007 19:17 <REP> Elaborate Bytes

26/09/2007 03:54 <REP> eMule

23/05/2007 20:51 <REP> Fichiers communs

23/05/2007 08:44 <REP> Gadwin Systems

28/05/2007 14:38 <REP> GIMP-2.0

27/09/2005 00:39 <REP> Google

23/05/2007 08:52 <REP> GRETECH

22/09/2007 18:31 <REP> HardwareDetection

27/09/2005 00:24 <REP> Hewlett-Packard

27/09/2007 22:39 <REP> Hijackthis Version Française

27/09/2005 00:12 <REP> HP

28/05/2007 15:10 <REP> Illustrate

19/08/2007 16:17 <REP> Internet Explorer

22/05/2007 13:53 <REP> InterVideo

06/08/2007 16:36 <REP> Java

20/06/2007 03:43 <REP> Lavalys

27/09/2005 00:26 <REP> Macrovision Corp

24/07/2007 11:33 <REP> Media Player Classic

26/09/2005 23:58 <REP> Messenger

17/09/2007 21:56 <REP> Messenger Plus! Live

30/05/2007 18:19 <REP> MessengerPlus! 3

25/11/2004 05:27 <REP> microsoft frontpage

04/06/2007 12:32 <REP> Microsoft IntelliPoint

25/11/2004 05:27 <REP> Movie Maker

26/09/2007 23:55 <REP> Mozilla Firefox

17/09/2007 21:36 <REP> MSN

25/11/2004 05:27 <REP> MSN Gaming Zone

17/09/2007 21:56 <REP> MSN Messenger

23/05/2007 07:06 <REP> MSXML 4.0

22/05/2007 22:19 <REP> NetMeeting

25/11/2004 05:27 <REP> Online Services

13/06/2007 11:53 <REP> Outlook Express

20/09/2007 20:48 <REP> QAvimator

27/09/2007 11:15 <REP> QuickTime

23/05/2007 20:51 <REP> Raxco

24/07/2007 11:33 <REP> Real Alternative

08/06/2007 11:15 <REP> Saitek

31/08/2007 17:36 <REP> SecondLife

27/09/2005 00:38 <REP> Services en ligne

27/09/2007 15:15 <REP> Spybot - Search & Destroy

23/08/2007 19:26 <REP> Spyware Terminator

22/05/2007 14:27 <REP> SpywareBlaster

22/05/2007 14:31 <REP> SpywareGuard

17/09/2007 22:00 <REP> StuffPlug3

22/05/2007 13:58 <REP> Symantec

30/08/2007 12:25 <REP> ThumbView_Lite 1.0

02/08/2007 09:02 <REP> Ubisoft

24/11/2004 03:37 <REP> Uninstall Information

17/09/2007 21:56 <REP> Windows Live

22/05/2007 15:28 <REP> Windows Media Player

22/05/2007 22:19 <REP> Windows NT

25/11/2004 05:28 <REP> xerox

24/05/2007 10:19 <REP> Zone Labs

0 fichier(s) 0 octets

74 Rép(s) 32.225.144.832 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\Program Files\fichiers communs

 

23/05/2007 20:51 <REP> .

23/05/2007 20:51 <REP> ..

22/05/2007 13:57 <REP> Agnitum Shared

23/05/2007 08:15 <REP> GTK

27/09/2005 00:18 <REP> Hewlett-Packard

27/09/2005 00:15 <REP> HP

27/09/2005 00:26 <REP> InstallShield

27/09/2005 00:25 <REP> InterVideo

26/09/2005 23:55 <REP> Java

27/09/2005 00:24 <REP> LightScribe

30/05/2007 16:30 <REP> Microsoft Shared

25/11/2004 05:26 <REP> MSSoap

25/11/2004 05:26 <REP> ODBC

23/05/2007 20:51 <REP> Raxco

22/05/2007 22:19 <REP> Services

22/05/2007 13:42 <REP> Sonic Shared

25/11/2004 05:26 <REP> SpeechEngines

13/06/2007 11:53 <REP> System

0 fichier(s) 0 octets

18 Rép(s) 32.225.140.736 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

25/11/2004 05:26 <REP> .

25/11/2004 05:26 <REP> ..

18/05/2001 22:57 561.209 MSONSEXT.DLL

03/06/1999 19:09 122.937 MSOWS409.DLL

07/03/2001 14:00 127.033 MSOWS40c.DLL

3 fichier(s) 811.179 octets

2 Rép(s) 32.225.140.736 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 488F-0CA4

 

Répertoire de C:\

 

13/12/2003 15:30 610.304 2xExplorer Fr.exe

1 fichier(s) 610.304 octets

0 Rép(s) 32.225.140.736 octets libres

 

 

 

 

c:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdel.exe

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Microsoft\Installer\{18063128-B9E1-AFAE-B7DD-2C313D2C375B}\ARPPRODUCTICON.exe

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Microsoft\Installer\{2A425503-3D15-BE66-8781-3D153AF1F8A9}\ARPPRODUCTICON.exe

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Microsoft\Installer\{76EFAC4F-1712-401F-B2AE-590B170C9BCE}\_60c11ac7.exe

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Microsoft\Installer\{C02EDE17-BC2E-4393-70BD-36185ABEBFF7}\ARPPRODUCTICON.exe

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Mozilla\Firefox\Profiles\9xk6lz0j.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c

 

9a66}\setup.exe

c:\Documents and Settings\HP_Propriétaire\Local

 

Settings\Temp\501784dd-6ba1-ee08-a62a-41701a21a64a.tmp.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\6A.exe

c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition

 

Classic\BACKUP\FAILSAFE\avewin32.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application

 

Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\HP_Propriétaire\Application

 

Data\Mozilla\Firefox\Profiles\9xk6lz0j.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c

 

9a66}\plugins\nphardwaredetection.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device

 

Host\upnphost\udhisapi.dll

 

****** Fin du rapport DiagHelp

Modifié par Aie!
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Rien de particulier sur ton rapport :P Passe par Ajouter/Supprimer des Programmes et désinstalle J2SE Runtime Environment 5.0 .

Le nom du trojan est : Win32Adloader-AC

Tu n'as pas pû relever l'emplacement du malware ?

 

@+

Aie! Member

Aie!

Posté(e)
  • Auteur
Posté(e) (modifié)
salut :P

 

Rien de particulier sur ton rapport :P Passe par Ajouter/Supprimer des Programmes et désinstalle J2SE Runtime Environment 5.0 .

 

Tu n'as pas pû relever l'emplacement du malware ?

 

@+

Bonjour,

 

J2SE Runtime Environment 5.0 désintallé.

 

Le trojan était dans un fichier MP3, Caravane de Raphaël.

 

 

Voilà, je pense que c'est fini maintenant ?

 

Sinon, tu ne voudrais pas jeter un coup d'oeil à ça : Connexion capricieuse

Si j'abuse ben... dis-le. :P

Modifié par Aie!
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Malheureusement je ne suis pas franchement callé en la matière ! Au vu du rapport de l'Observateur d'événement, on relève ceci >

Le délai de temporisation de sémaphore a expiré.

Il me semble que ca peut vouloir dire que ta carte réseau est défectueuse...! >

http://support.microsoft.com/kb/325487/fr

Par contre, ceci fait plutôt penser à un problème de configuration de la connexion >

Par contre, sur le même PC, sous Mandriva Spring, aucun problème pour aller sur le net.

 

Quelqu'un a la moindre idée de ce qui se passe ?

je suis désolé, mais je ne peux pas t'aider pour ce souci ... je pense que tu reçevras une aide sur le topic que tu as ouvert :P

Aie! Member

Aie!

Posté(e)
  • Auteur
Posté(e)
re!

 

Malheureusement je ne suis pas franchement callé en la matière ! Au vu du rapport de l'Observateur d'événement, on relève ceci >

 

Il me semble que ca peut vouloir dire que ta carte réseau est défectueuse...! >

http://support.microsoft.com/kb/325487/fr

Par contre, ceci fait plutôt penser à un problème de configuration de la connexion >

 

je suis désolé, mais je ne peux pas t'aider pour ce souci ... je pense que tu reçevras une aide sur le topic que tu as ouvert :P

Merci quand même d'y avoir jeté un coup d'oeil.

 

J'espère que j'aurai une réponse sur le topic. Je n'y comprends, c'est arrivé du jour au lendemain sans raison.

 

Et merci pour ton assistance pour le nettoyage printanier... plutôt : automnal de mon PC.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...