nibble.exe

Thanos · le 20 octobre 2007

ok, je vois ce que c'est! une clé de registre n'a pas la valeur qu'il faut, et du coup, c'est cette fenêtre cmd qui s'ouvre au lieu de l'explorateur!!

Je te prépare une solution dans quelques instants ...

Thanos · le 20 octobre 2007

Voilà ce que tu vas faire stp >

- Stp rend toi sur cette page afin de télécharger le fichier restshell.reg > http://www.sendspace.com/file/2bse4z

pour cela, clique sur le lien en bas de page > Download Link: restshell.reg

Tu va avoir le choix entre enregistrer le fichier ou l'ouvrir > choisis Ouvrir !! par ex dans la capture >

Une fois ceci fait, tu vas reçevoir une alerte te demandant si tu acceptes la fusion avec le registre > accepte!

Il est possible qu'un redémarrage du pc soit nécéssaire pour prendre en compte la modification.

Redémarre le pc et dis moi si c'est bon.

Modifié le 20 octobre 2007 par charles ingals

pepnohic · le 20 octobre 2007

apres un redemarage tout est ok

mes icones sont bien là ainsi que la barre des taches

j ai aussi u un avenger.txt,le voici

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\ajubtqjy

*******************

Script file located at: \??\E:\cwgfldks.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Registry key \Registry\Machine\System\CurrentControlSet\Services\atmapi not found!

Unload of driver atmapi failed!

Could not process line:

atmapi

Status: 0xc0000034

File E:\WINDOWS\System32\drivers\atmapi.sys deleted successfully.

File E:\WINDOWS\nview.dll deleted successfully.

File E:\WINDOWS\nibble.exe deleted successfully.

File E:\WINDOWS\Prefetch\NIBBLE.EXE-02551F7B.pf not found!

Deletion of file E:\WINDOWS\Prefetch\NIBBLE.EXE-02551F7B.pf failed!

Could not process line:

E:\WINDOWS\Prefetch\NIBBLE.EXE-02551F7B.pf

Status: 0xc0000034

Could not open file E:\Documents and Settings\pep\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe for deletion

Deletion of file E:\Documents and Settings\pep\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe failed!

Could not process line:

E:\Documents and Settings\pep\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe

Status: 0xc000003a

File E:\WINDOWS\Help\mwrem.cin deleted successfully.

File E:\WINDOWS\Help\access.cni deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\1 deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\2 deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|zwpInit_Dlls deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

c est top ...

je dois encore faire certaines choses pour les fichiers dans avenger (suppression des fichiers nibble ect...)?

ou même autre chose...

en tous cas ça à l air de marcher au top

Merki tu est un AS

Thanos · le 20 octobre 2007

Félicitations pepnohic et désolé pour ce plantage (pas lié à l'utilisation d'Avenger en fait!)

A présent il reste deux petites choses que j'aimerai que tu fasses stp > je te poste ca dans un instant

Thanos · le 20 octobre 2007

Elimine le dossier > C:\avenger\backup.zip

1) Nous allons restaurer un fichier qui a été modifié (user32.dll) par le malware >

Télécharge et installe ce correctif de Microsoft stp > http://www.microsoft.com/downloads/details...63-10ac20a75020

2) Tu vas ajouter une adresse dans ton fichier Hosts.

Ouvre Hijackthis et clique sur "Open the misc tools section"

Clique sur "Open hosts file manager"> une fenêtre va s'ouvrir avec le contenu du fichier Hosts
Clique sur le bouton "Open in notepad"
A présent le fichier Hosts lui même s'ouvre.
Ajoute la ligne suivante après 127.0.0.1 localhost (sans le mot CITATION) >
127.0.0.1 213.21.215.214
Clique ensuite sur Fichier puis Enregistrer
Tu peux fermer Hijackthis ainsi que le fichier Hosts

Note: il y a 7 espaces entre 127.0.0.1 et l'adresse 213.21.215.214 malheureusement je ne parviens pas à l'afficher comme je voudrais! (regarde les autres adresses dans le fichier pour te repérer)

3) Fais le scan en ligne suivant >

Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

4) Pour terminer poste moi un dernier rapport DiagHelp pour véification.

après ca je te laisse tranquille :P

Modifié le 20 octobre 2007 par charles ingals

pepnohic · le 20 octobre 2007

bien je vois qu il y a des choses

KASPERSKY ON-LINE SCANNER REPORT

Saturday, October 20, 2007 3:40:00 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.98.0

Dernière mise à jour de la base antivirus Kaspersky : 20/10/2007

Enregistrements dans la base antivirus Kaspersky : 441514

Paramètres d'analyse

Analyser avec la base antivirus suivante étendue

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

G:\

H:\

Statistiques de l'analyse

Total d'objets analysés 51989

Nombre de virus trouvés 4

Nombre d'objets infectés 6

Nombre d'objets suspects 0

Durée de l'analyse 00:35:45

Nom de l'objet infecté Nom du virus Dernière action

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\sysxdxv.exe Infecté : Backdoor.Win32.Agent.bza ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Cookies\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Local Settings\Temp\Historique\History.IE5\MSHist012007102020071021\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\pep\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\pep\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\pep\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

E:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\De4\backup.zip/avenger/access.cni Infecté : Backdoor.Win32.Agent.byy ignoré

E:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\De4\backup.zip/avenger/mwrem.cin Infecté : Backdoor.Win32.Agent.bxs ignoré

E:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\De4\backup.zip/avenger/nibble.exe Infecté : Backdoor.Win32.Agent.bxt ignoré

E:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\De4\backup.zip/avenger/nview.dll Infecté : Backdoor.Win32.Agent.byy ignoré

E:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\De4\backup.zip ZIP: infecté - 4 ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

E:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

E:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

E:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

E:\WINDOWS\Internet Logs\LSDBOT-III.ldb L'objet est verrouillé ignoré

E:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

E:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

E:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

E:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

E:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\drivers\atapi.sys L'objet est verrouillé ignoré

E:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

E:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

E:\WINDOWS\Temp\Perflib_Perfdata_72c.dat L'objet est verrouillé ignoré

E:\WINDOWS\Temp\ZLT0711e.TMP L'objet est verrouillé ignoré

E:\WINDOWS\Temp\ZLT07121.TMP L'objet est verrouillé ignoré

E:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

E:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

E:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

E:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

catchme:

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-20 15:44:22

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:b886ce0b

"s2"=dword:e928063f

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:18,20,7f,0e,4c,55,83,39,95,6b,07,74,8e,26,32,d7,b2,06,3c,d2,74,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,21,ed,59,ff,4e,22,28,c1,81,87,76,33,3f,10,66,59,a7,..

"khjeh"=hex:c8,86,9b,2c,27,ef,01,4d,d0,39,22,d1,fe,ae,7f,fe,1a,c3,9f,ee,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:67,f1,ba,6d,93,ce,78,96,bd,cf,a5,02,e7,5c,9c,cd,40,d2,c7,57,ca,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:18,20,7f,0e,4c,55,83,39,95,6b,07,74,8e,26,32,d7,b2,06,3c,d2,74,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,21,ed,59,ff,4e,22,28,c1,81,87,76,33,3f,10,66,59,a7,..

"khjeh"=hex:c8,86,9b,2c,27,ef,01,4d,d0,39,22,d1,fe,ae,7f,fe,1a,c3,9f,ee,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:67,f1,ba,6d,93,ce,78,96,bd,cf,a5,02,e7,5c,9c,cd,40,d2,c7,57,ca,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

voilou ,si tu a des suggestions pour les infectés ,dis moi

merci encore

Thanos · le 20 octobre 2007

re

Rien d'inquiêtant sur ton rapport de scan, juste ceci à faire >

- Elimine le fichier suivant > C:\sysxdxv.exe

Si tu ne vois pas ce fichier, fais ceci puis élimine le >

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

-Après ca vide la corbeille: fais un clic droit sur son icône et choisis "vider la corbeille".

Désolé mais le rapport DiagHelp n'est pas complêt > là tu as lancé cathcme! Comme tu as fait la première fois, lance le fichier Go.cmd et choisis l'option 1 (n'oublie pas d'appuyer sur une touche à la fin du rapport catchme) > poste le rapport généré

Modifié le 20 octobre 2007 par charles ingals

pepnohic · le 20 octobre 2007

oup's...

c est celui là?

DiagHelp version v1.2 - http://www.malekal.com

excute le 20/10/2007 à 19:56:48,35

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

E:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 12:05:25

E:\WINDOWS\System32\drivers\aswmon2.sys -->06/09/2007 12:05:10

E:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 12:03:02

E:\WINDOWS\System32\drivers\aswTdi.sys -->06/09/2007 12:02:20

E:\WINDOWS\System32\drivers\aavmker4.sys -->06/09/2007 12:00:53

E:\WINDOWS\System32\drivers\NSDriver.sys -->04/06/2007 15:18:48

E:\WINDOWS\System32\drivers\AWRTRD.sys -->04/06/2007 15:17:02

E:\WINDOWS\System32\vsconfig.xml -->20/10/2007 19:51:56

E:\WINDOWS\System32\FNTCACHE.DAT -->20/10/2007 14:33:33

E:\WINDOWS\System32\wpa.dbl -->18/10/2007 22:43:48

E:\WINDOWS\System32\CONFIG.NT -->17/10/2007 16:37:55

E:\WINDOWS\System32\PerfStringBackup.INI -->10/09/2007 19:02:45

E:\WINDOWS\System32\perfh00C.dat -->10/09/2007 19:02:45

E:\WINDOWS\System32\perfh009.dat -->10/09/2007 19:02:45

E:\WINDOWS\System32\perfc00C.dat -->10/09/2007 19:02:45

E:\WINDOWS\System32\perfc009.dat -->10/09/2007 19:02:45

E:\WINDOWS\System32\aswBoot.exe -->06/09/2007 12:09:49

E:\WINDOWS\System32\AVASTSS.scr -->06/09/2007 12:00:07

E:\WINDOWS\System32\CmdLineExt.dll -->27/08/2007 17:27:50

E:\WINDOWS\System32\W32N50.dll -->27/08/2007 16:07:24

E:\WINDOWS\System32\PCANDIS5.sys -->27/08/2007 16:07:24

E:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

E:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52

E:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:46

E:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42

E:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36

E:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32

E:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28

E:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20

E:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16

E:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12

E:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04

E:\WINDOWS.log -->20/10/2007 19:51:49

E:\WINDOWS\wiadebug.log -->20/10/2007 19:51:47

E:\WINDOWS\WindowsUpdate.log -->20/10/2007 19:51:44

E:\WINDOWS\wiaservc.log -->20/10/2007 19:51:40

E:\WINDOWS\bootstat.dat -->20/10/2007 19:50:47

E:\WINDOWS\setupapi.log -->20/10/2007 14:43:49

E:\WINDOWS\tsoc.log -->20/10/2007 14:32:44

E:\WINDOWS\ntdtcsetup.log -->20/10/2007 14:32:44

E:\WINDOWS\KB925902.log -->20/10/2007 14:32:44

E:\WINDOWS\imsins.log -->20/10/2007 14:32:44

E:\WINDOWS\iis6.log -->20/10/2007 14:32:44

E:\WINDOWS\comsetup.log -->20/10/2007 14:32:44

E:\WINDOWS\ocgen.log -->20/10/2007 14:32:32

E:\WINDOWS\msmqinst.log -->20/10/2007 14:32:32

E:\WINDOWS\FaxSetup.log -->20/10/2007 14:32:32

MD5 des fichiers sensibles

tcpip.sys 77c0c5e7d6cfe2052b8cf28b8722f528

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

Le volume dans le lecteur E n'a pas de nom.

Le numéro de série du volume est F08D-2160

Répertoire de E:\WINDOWS\system32

19/08/2004 20:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 31 366 610 944 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur E n'a pas de nom.

Le numéro de série du volume est F08D-2160

Répertoire de E:\WINDOWS\Downloaded Program Files

20/10/2007 14:43 <REP> .

20/10/2007 14:43 <REP> ..

03/01/2007 19:31 65 desktop.ini

25/07/2002 18:13 24 576 dwusplay.dll

25/07/2002 18:13 196 608 dwusplay.exe

15/06/2006 19:33 1 132 192 EPUWALcontrol.dll

25/07/2002 18:05 172 032 isusweb.dll

07/01/2007 12:55 2 305 kavwebscan.inf

6 fichier(s) 1 527 778 octets

Total des fichiers listés :

6 fichier(s) 1 527 778 octets

2 Rép(s) 31 366 606 848 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"E:\\Program Files\\MSN Messenger\\msncall.exe"="E:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"E:\\Program Files\\MSN Messenger\\msnmsgr.exe"="E:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"E:\\Program Files\\MSN Messenger\\livecall.exe"="E:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"

"E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"E:\\Program Files\\AOL 9.0\\waol.exe"="E:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"E:\\Program Files\\MSN Messenger\\msncall.exe"="E:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"E:\\Program Files\\MSN Messenger\\msnmsgr.exe"="E:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"E:\\Program Files\\MSN Messenger\\livecall.exe"="E:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"

"E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="E:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"E:\\Program Files\\AOL 9.0\\waol.exe"="E:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-20 19:57:05

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:b886ce0b

"s2"=dword:e928063f

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:18,20,7f,0e,4c,55,83,39,95,6b,07,74,8e,26,32,d7,b2,06,3c,d2,74,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,21,ed,59,ff,4e,22,28,c1,81,87,76,33,3f,10,66,59,a7,..

"khjeh"=hex:c8,86,9b,2c,27,ef,01,4d,d0,39,22,d1,fe,ae,7f,fe,1a,c3,9f,ee,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:67,f1,ba,6d,93,ce,78,96,bd,cf,a5,02,e7,5c,9c,cd,40,d2,c7,57,ca,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="E:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:18,20,7f,0e,4c,55,83,39,95,6b,07,74,8e,26,32,d7,b2,06,3c,d2,74,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,21,ed,59,ff,4e,22,28,c1,81,87,76,33,3f,10,66,59,a7,..

"khjeh"=hex:c8,86,9b,2c,27,ef,01,4d,d0,39,22,d1,fe,ae,7f,fe,1a,c3,9f,ee,e9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:67,f1,ba,6d,93,ce,78,96,bd,cf,a5,02,e7,5c,9c,cd,40,d2,c7,57,ca,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

192 - ctfmon.exe

212 - LClock.exe

268 - NMBgMonitor.exe

296 - PicasaMediaDete

588 - spoolsv.exe

596 - GestionnaireInt

716 - csrss.exe

748 - winlogon.exe

792 - services.exe

804 - lsass.exe

872 - ComComp.exe

976 - svchost.exe

1040 - svchost.exe

1116 - Toaster.exe

1128 - Inactivity.exe

1140 - PollingModule.e

1152 - svchost.exe

1184 - ati2evxx.exe

1244 - ALERTM~1.EXE

1256 - vsmon.exe

1380 - aawservice.exe

1564 - explorer.exe

1668 - DKService.exe

1844 - ashServ.exe

1908 - SMax4PNP.exe

1916 - SMax4.exe

1924 - imontray.exe

1932 - ashDisp.exe

1956 - zlclient.exe

2180 - imonNT.exe

2472 - ashWebSv.exe

2916 - alg.exe

3092 - Watch.exe

3196 - wuauclt.exe

4048 - IEXPLORE.EXE

4964 - cmd.exe

Total number of processes = 37

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe

8070E000 - \WINDOWS\system32\hal.dll

F7D62000 - \WINDOWS\system32\KDCOM.DLL

F7C72000 - \WINDOWS\system32\BOOTVID.dll

F776A000 - sptd.sys

F7D64000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F7752000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F772A000 - a347bus.sys

F7719000 - pci.sys

F7862000 - isapnp.sys

F76EA000 - ACPI.sys

F7E2A000 - pciide.sys

F7AE2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F7D66000 - intelide.sys

F7872000 - MountMgr.sys

F76CB000 - ftdisk.sys

F7D68000 - dmload.sys

F76A5000 - dmio.sys

F7AEA000 - PartMgr.sys

F7882000 - VolSnap.sys

F768D000 -

F7D6A000 - a347scsi.sys

F7892000 - disk.sys

F78A2000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F766E000 - fltMgr.sys

F78B2000 - PxHelp20.sys

F7657000 - KSecDD.sys

F75CA000 - Ntfs.sys

F759D000 - NDIS.sys

F7589000 - srescan.sys

F756E000 - Mup.sys

F78C2000 - agp440.sys

F78F2000 - \SystemRoot\system32\DRIVERS\SMBios.sys

F7912000 - \SystemRoot\system32\DRIVERS\intelppm.sys

F7216000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F71DA000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F7B1A000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F71B7000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F7B22000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F7922000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F7B3A000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F7B4A000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F7B5A000 - \SystemRoot\system32\DRIVERS\fdc.sys

F71A6000 - \SystemRoot\system32\DRIVERS\serial.sys

F7D4A000 - \SystemRoot\system32\DRIVERS\serenum.sys

F7192000 - \SystemRoot\system32\DRIVERS\parport.sys

F7932000 - \SystemRoot\system32\DRIVERS\imapi.sys

F7942000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F7952000 - \SystemRoot\system32\DRIVERS\redbook.sys

F716F000 - \SystemRoot\system32\DRIVERS\ks.sys

F7B7A000 - \SystemRoot\system32\DRIVERS\smb.sys

F70E1000 - \SystemRoot\system32\drivers\smwdm.sys

F70BD000 - \SystemRoot\system32\drivers\portcls.sys

F7962000 - \SystemRoot\system32\drivers\drmk.sys

F70A5000 - \SystemRoot\system32\drivers\aeaudio.sys

F7B92000 - \SystemRoot\system32\drivers\sf.sys

F705B000 - \SystemRoot\System32\Drivers\a42aygog.SYS

F7F7A000 - \SystemRoot\system32\DRIVERS\audstub.sys

F7972000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7526000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F7044000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F7982000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F7992000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F7BFA000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F7033000 - \SystemRoot\system32\DRIVERS\psched.sys

F79A2000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F7C0A000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F7C1A000 - \SystemRoot\system32\DRIVERS\raspti.sys

F6F62000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F79B2000 - \SystemRoot\system32\DRIVERS\termdd.sys

F7D76000 - \SystemRoot\system32\DRIVERS\swenum.sys

F6F2E000 - \SystemRoot\system32\DRIVERS\update.sys

F7502000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F79C2000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F79F2000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7D7C000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F7C32000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F7D80000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7E7A000 - \SystemRoot\System32\Drivers\Null.SYS

F7D84000 - \SystemRoot\System32\Drivers\Beep.SYS

F7C4A000 - \SystemRoot\System32\drivers\vga.sys

F7D88000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7D8C000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7C5A000 - \SystemRoot\System32\Drivers\Msfs.SYS

F7C6A000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7D5A000 - \SystemRoot\system32\DRIVERS\rasacd.sys

BAFA5000 - \SystemRoot\system32\DRIVERS\ipsec.sys

BAF4D000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F7A12000 - \SystemRoot\System32\Drivers\aswTdi.SYS

BAF2C000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F7A22000 - \SystemRoot\system32\DRIVERS\wanarp.sys

BAF04000 - \SystemRoot\system32\DRIVERS\netbt.sys

BAEA5000 - \SystemRoot\System32\vsdatant.sys

BAE83000 - \SystemRoot\System32\drivers\afd.sys

F7A42000 - \SystemRoot\system32\DRIVERS\netbios.sys

BAE58000 - \SystemRoot\system32\DRIVERS\rdbss.sys

BADC1000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F7A52000 - \SystemRoot\System32\Drivers\Fips.SYS

F7B42000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F7B62000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F6F1E000 - \SystemRoot\system32\DRIVERS\usbscan.sys

F7B72000 - \SystemRoot\system32\DRIVERS\usbprint.sys

F6F16000 - \SystemRoot\system32\DRIVERS\usb8023.sys

F7B8A000 - \SystemRoot\system32\DRIVERS\RNDISMP.SYS

F7A72000 - \SystemRoot\System32\Drivers\Cdfs.SYS

BAD09000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7DA4000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

BAFF8000 - \SystemRoot\System32\drivers\Dxapi.sys

F7BB2000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7F5F000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA19000 - \SystemRoot\System32\ati2cqag.dll

BFA61000 - \SystemRoot\System32\atikvmag.dll

BFAA6000 - \SystemRoot\System32\ati3duag.dll

BFD0F000 - \SystemRoot\System32\ativvaxx.dll

B881B000 - \SystemRoot\System32\Drivers\aswMon2.SYS

B87F8000 - \SystemRoot\System32\Drivers\Fastfat.SYS

B85B3000 - \SystemRoot\system32\drivers\wdmaud.sys

B86D8000 - \SystemRoot\system32\drivers\sysaudio.sys

B8497000 - \SystemRoot\system32\drivers\kmixer.sys

F7D7E000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F7DB8000 - \SystemRoot\System32\Drivers\ASCTRM.SYS

F7BE2000 - \??\E:\WINDOWS\system32\drivers\iSMBIOS.SYS

B81CD000 - \SystemRoot\system32\DRIVERS\secdrv.sys

F7DDC000 - \??\E:\WINDOWS\system32\drivers\SIODRV.SYS

B808B000 - \SystemRoot\system32\DRIVERS\srv.sys

B7F27000 - \??\E:\WINDOWS\system32\PCANDIS5.SYS

F7E9A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 130

Liste des programmes installes

Ad-Aware 2007

Adobe Flash Player ActiveX

Adobe Reader 8 - Français

Adobe Shockwave Player

Anti-Pub 2003.03

Archiveur WinRAR

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Display Driver

avast! Antivirus

Capturino 1.4

CCleaner (remove only)

Commande ECHO désactivée.

Correctif pour Windows XP (KB893357)

Correctif Windows XP - KB834707

Correctif Windows XP - KB867282

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB884020

Correctif Windows XP - KB884883

Correctif Windows XP - KB885222

Correctif Windows XP - KB885250

Correctif Windows XP - KB885523

Correctif Windows XP - KB885626

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885894

Correctif Windows XP - KB886185

Correctif Windows XP - KB886677

Correctif Windows XP - KB886716

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890831

Correctif Windows XP - KB890859

Correctif Windows XP - KB890923

Correctif Windows XP - KB891781

Correctif Windows XP - KB893086

Correctif Windows XP - KB896626

Diskeeper Lite

EAX Unified (SHELL)

eMule

EPSON Attach To Email

EPSON Copy Utility 3

EPSON Easy Photo Print

EPSON File Manager

EPSON Image Clip Palette

EPSON Logiciel imprimante

EPSON Scan

EPSON Scan Assistant

EPSON Web-To-Page

ESDX4800_4200 Guide util.

FINAL FANTASY VIII

Gestionnaire Internet

HijackThis 2.0.0

Intel® Active Monitor

Kaspersky Online Scanner

Le Chercheur de Mots 1.0.39

Learn2 Player (Uninstall Only)

livebox

Microsoft .NET Framework 2.0

Microsoft Office 2000 SR-1 Premium

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893066)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900930)

Navigateur Orange

Nero 7 Demo

Picasa 2

PIF DESIGNER

QuickTime

RealArcade

RealPlayer Basic

Satsuki Decoder Pack

Shareaza version 2.2.0.0

SoundMAX

Spybot - Search & Destroy 1.4

Viewpoint Media Player

WebFldrs XP

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

XMLinst

Yahoo! Toolbar

ZoneAlarm

Le volume dans le lecteur E n'a pas de nom.

Le numéro de série du volume est F08D-2160

Répertoire de E:\Program Files

18/10/2007 23:09 <REP> .

18/10/2007 23:09 <REP> ..

03/01/2007 21:16 <REP> Adobe

03/01/2007 22:22 <REP> Alcohol Soft

03/01/2007 21:20 <REP> Alwil Software

03/01/2007 20:06 <REP> Analog Devices

06/01/2007 14:04 <REP> Antipub

03/01/2007 22:56 <REP> ATI Technologies

09/05/2007 12:26 <REP> Capturino 1.4

03/01/2007 21:27 <REP> CCleaner

27/06/2007 16:39 <REP> Creative Labs

03/02/2007 16:02 <REP> DAEMON Tools

21/02/2007 22:24 <REP> El Juky

26/09/2007 19:50 <REP> eMule

05/01/2007 14:25 <REP> EPSON

03/01/2007 21:28 <REP> Executive Software

17/10/2007 18:30 <REP> Fichiers communs

26/09/2007 10:36 <REP> Google

03/01/2007 20:05 <REP> Intel

15/02/2007 01:37 <REP> Internet Explorer

17/10/2007 18:32 <REP> Lavasoft

04/01/2007 11:52 <REP> Learn2.com

04/01/2007 01:23 <REP> Lionhead Studios

04/02/2007 19:27 <REP> Microsoft FrontPage

04/02/2007 19:26 <REP> Microsoft Office

04/02/2007 19:28 <REP> Microsoft Visual Studio

17/05/2007 11:58 <REP> MSN Messenger

03/01/2007 22:38 <REP> Nero

03/01/2007 19:30 <REP> NetMeeting

03/01/2007 19:35 <REP> Outlook Express

10/10/2007 15:45 <REP> Picasa2

04/01/2007 11:52 <REP> QuickTime

22/02/2007 18:38 <REP> Real

22/02/2007 18:38 774 144 RngInterstitial.dll

25/09/2007 12:50 <REP> SAGEM

03/01/2007 22:46 <REP> Satsuki Decoder Pack

10/09/2007 19:00 <REP> Securitoo

03/01/2007 19:31 <REP> Services en ligne

03/02/2007 15:42 <REP> Shareaza

03/01/2007 21:25 <REP> Spybot - Search & Destroy

04/01/2007 11:52 <REP> Viewpoint

20/10/2007 19:52 <REP> Wanadoo

14/06/2007 20:32 <REP> Windows Media Player

03/01/2007 19:29 <REP> Windows NT

03/01/2007 21:15 <REP> WinRAR

03/01/2007 22:35 <REP> Yahoo!

03/01/2007 21:24 <REP> Zone Labs

1 fichier(s) 774 144 octets

46 Rép(s) 31 366 500 352 octets libres

Le volume dans le lecteur E n'a pas de nom.

Le numéro de série du volume est F08D-2160

Répertoire de E:\Program Files\fichiers communs

17/10/2007 18:30 <REP> .

17/10/2007 18:30 <REP> ..

03/01/2007 21:16 <REP> Adobe

03/01/2007 22:41 <REP> Ahead

10/09/2007 18:49 <REP> AOL

04/01/2007 11:53 <REP> aolback

04/02/2007 19:28 <REP> Designer

05/01/2007 14:27 <REP> InstallShield

04/02/2007 19:27 <REP> Microsoft Shared

03/01/2007 19:30 <REP> MSSoap

04/01/2007 11:52 <REP> Nullsoft

04/01/2007 11:51 <REP> Real

03/01/2007 19:30 <REP> Services

03/01/2007 20:25 <REP> SpeechEngines

04/02/2007 19:27 <REP> System

17/10/2007 18:30 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

16 Rép(s) 31 366 500 352 octets libres

Le volume dans le lecteur E n'a pas de nom.

Le numéro de série du volume est F08D-2160

Répertoire de E:\Program Files\fichiers communs\Microsoft Shared\Web Folders

04/02/2007 19:28 <REP> .

04/02/2007 19:28 <REP> ..

04/02/2007 19:15 <REP> 1036

25/04/2006 22:33 967 952 MSONSEXT.DLL

03/06/1999 13:09 122 937 MSOWS409.DLL

07/03/2001 08:00 127 033 MSOWS40c.DLL

18/03/1999 06:37 593 977 RAGENT.DLL

4 fichier(s) 1 811 899 octets

3 Rép(s) 31 366 496 256 octets libres

****** Fin du rapport DiagHelp

Thanos · le 21 octobre 2007

salut

Le rapport DiagHelp est tout bon

Juste pour information, je vois qu'il y a Shareaza sur ton pc >

Fais gaffe avec l'utilisation des logiciels P2P!! c'est un des principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

Je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité de ces antivirus: Antivir et Avast> http://forum.malekal.com/ftopic3528.php

C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux.

Si tu décides de désinstaller Avast! pour Antivir, consulte le Tutoriel de tesgaz pour le configurer correctement (c'est important!).

Tu peux éliminer >

les fichiers Avenger.zip ainsi que avenger.exe sur ton bureau et C:\avenger.txt

Elimine aussi le fichier DiagHelp.zip et le dossier DiagHelp complêt sur ton bureau ainsi que les fichiers C:\diff.exe et C:\grep.exe.

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.
Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

Stp, quand tu auras le temps(ca prend 5 minutes) et si tu veux bien>

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors n'hésite pas :

- Voir les règles de Malware-Complaints

- Enregistre toi sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

Si le malware que tu as eu n'apparaît pas dans la liste, pour toi il s'agit de Win32.Backdoor.Agent.BXS, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Pour poster un message, clique sur le bouton "post reply" et complête les informations.

Si tu as des questions ou des problèmes, n'hésite pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

ps: n'hésite pas à témoigner sur Malware Complaints , ca fera réagir les dirigeants et permettra de rendre la toile plus sûre

------------------------------------------

Les conseils qui suivent sont volontairement génériques, de sorte qu'ils puissent servir à un maximum de personnes. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

Pour en savoir plus sur la sécurité pc, consulte les pages suivantes:

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

Malekal_Morte : http://www.malekal.com/

***

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

Navigateurs

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe :
- Téléchargement :

http://www.mozilla-europe.org/fr/products/firefox/
- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628
Je te le recommande vivement !

=> Opera
- Téléchargement : http://www.opera.com/download/
- Explications par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/view...ae5af52b512dbab
- Fonctionnalitées et Astuces par Lordtoniok : http://forum.zebulon.fr/index.php?showtopic=73742

Si tu veux toujours utiliser IE ! :

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)
Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)
- Téléchargement : http://www.spywarewarrior.com/uiuc/res/ie-spyad2.exe

Sécurisation des ports

=> ZebProtect (pour sécuriser les ports de ton PC, très simple) :
- Téléchargement :

http://telechargement.zebulon.fr/123.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php

=> Si tu veux tester ton firewall :
- scanner les ports du PC : http://www.pcflank.com/

Sécurisation de la navigation

=> SpywareBlaster :
- Téléchargement :

http://www.javacoolsoftware.com/downloads.html
- Tutorial : http://kerio.probb.fr/Internet-c5/Logiciel...er-351-t241.htm
Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif.

=> Le fichier Hosts :
Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter.
- Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP
- Télécharger les listes hosts du forum Assiste.com par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318
- Explications sur le Hosts : http://speedweb1.free.fr/frames2.php?page=securite10
- Conversations sur le Hosts sur Zebulon : http://forum.zebulon.fr/index.php?showtopic=88615

Antispywares

=> Ad-Aware SE de Lavasoft :
- Téléchargement :

http://www.ordi-netfr.com/adawarese.html
- Téléchargement 2 : http://www.lavasoft.de/support/download/#free
- Tutorial : http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
- Tutorial 2 par Patarien : http://tutopat.hostonet.org/viewtopic.php?t=207
seule la version payante te permet de protéger le pc!la version gratuite sert à scanner le pc (après mise à jour, et de préférence en mode sans échec)

=> SpyBot-Search & Destroy de Patrick Kolla :
- Téléchargement : http://spybot.safer-networking.de/fr/download/index.html
- Tutorial : http://www.safer-networking.org/fr/tutorial/index.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/spybot_1.php
A noter la présence de 2 outils résidents optionnels, le "Teatimer" et le "SDhelper" ; le tuto indiqué t'en dira d'avantage.

=>Spywareterminator
- Téléchargement : http://www.spywareterminator.com/
- Tutorial par Malekal_Morte: http://www.malekal.com/tutorial_SpywareTerminator.html
Ce logiciel est gratuit et possède une protection en temps réel qui permettra de protéger ton pc contre les spywares

=> AVG Anti-Spyware (AVG AS) :
- Téléchargement : http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe
- Tutorial par Malekal_morte : http://www.malekal.com/tutorial_ewidoV4.html#mozTocId415851
AVG Anti-Spyware est un antimalware très efficace. Certaines fonctions ne sont gratuites que 30 jours, mais il est très performant en analyse en mode sans échec.

Contrôleurs d'intégrité - Résidents / pour utilisateurs avancés

=>Winpooch projet Opensources :
- Téléchargement :

http://winpooch.free.fr/page/home.php?lang=fr&page=home
- Conversation sur Zebulon par Jack Burton : http://forum.zebulon.fr/index.php?showtopi...amp;hl=Winpooch

=>WinPatrol de BillP Studios :
- Téléchargement : http://www.winpatrol.com/download.html
- Tutorial par Krigou : http://www.libellules.ch/weblog/comments.php?id=46_0_1_0_C

=>ProcessGuard de DiamondCS :
- Téléchargement : http://www.diamondcs.com.au/processguard/i...p?page=download
- Conversation sur Zebulon par Megataupe : http://forum.zebulon.fr/index.php?showtopic=66717
- tutorial par Odsen : http://benoit.aun.free.fr/securite-facile-...rocessguard.php

=>Icesword - IDS de la Xfocus Team :
- Téléchargement : http://www.open-files.com/forum/index.php?...st&p=459692
- tutorial par Txon : http://www.open-files.com/forum/index.php?showtopic=29383
- Explications sur Zebulon par Horus Agressor : http://forum.zebulon.fr/index.php?showtopic=96713

2)- Les utilitaires pour nettoyer le PC :

=> EasyCleaner de Toni Helenius :
- Téléchargement :

http://personal.inet.fi/business/toniarts/ecleane.htm
- Tutorial - temporaires par DarkBG : http://www.uptoopc.net/nettoyer/temporaires.php
- Tutorial - registre : http://www.uptoopc.net/nettoyer/registre.php
- Tutorial - autres fonctions : http://www.uptoopc.net/nettoyer/autresfonctions.php
Easy cleaner est un utilitaire de nettoyage.

=> ATF Cleaner de Atribune :
- Téléchargement : http://www.atribune.org/ccount/click.php?id=1
- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html

=> JV16 :
- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php

3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz :

=>Configurez vos services :

http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4

=>Optimiser la protection de son PC pour Internet en toute sécurité :

http://speedweb1.free.fr/frames2.php?page=securite1

=>Autorisation et restriction des Dossiers et fichiers avec NTFS :
http://speedweb1.free.fr/frames2.php?page=securite4

=>Améliorer votre sécurité grâce aux restrictions :
http://speedweb1.free.fr/frames2.php?page=securite6

=>Les mots de passe :
http://speedweb1.free.fr/frames2.php?page=securite7

4)- Des précautions simples qui permettent de retrouver un pc en bon état! :

=> Erunt & Ntregopt:
- Téléchargement :

http://telechargement.zebulon.fr/202-erunt.html
- Téléchargement : http://telechargement.zebulon.fr/203-ntregopt.html
le pc étant clean,il est important de pouvoir Sauvegarder la base de registre afin de la restaurer en cas de problème=>
ntregopt permet de compacter la base de registre pour gagner de la place , et Erunt permet d'en faire une sauvegarde pour pouvoir la restaurer en l'état si besoin est.(problème infectieux,problème de plantage...)
- Tutoriel par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php

=>Installer la console de récupération :
http://www.zebulon.fr/articles/console-de-recuperation-1.php
Il est parfois utile d'avoir la consolé de récupération accessible au démarrage de windows afin de pouvoir l'utiliser et ainsi réparer plus facilement son système endommagé!

=>Process Explorer de SysInternals :

http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=39
Remplace aventageusement le Gestionnaire des Tâches de Windows ! surtout lorsque celui ci est désactivé par un malware!
- Téléchargement : http://www.sysinternals.com/Utilities/ProcessExplorer.html
- Tutoriel par Tesgaz : http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=39

Lorsque la désinfection est terminée, pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

A bientot sur les forums de

Modifié le 21 octobre 2007 par charles ingals

Connexion

Pas encore inscrit ?

nibble.exe

Messages recommandés

Thanos

Thanos

pepnohic

Thanos

Thanos

pepnohic

Thanos

pepnohic

Thanos

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer