Gros probleme Virtumonde & cie

capt.atomix · le 28 octobre 2007

J y comprend rien: la ligne 17 est a nouveau la

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:42:29, on 28/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\scanner\scanner.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.alcatel.com/consumer/dsl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: BHOvX - {A27835AD-3A92-13DA-8324-0913200C9AA3} - C:\Program Files\BHOvX\ie-improver.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1097702632093

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1159699749516

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer = 85.255.114.99 85.255.112.229

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

EDIT: j ai a nouveau fixe cette ligne, mais j ai l impression qu elle va reapparaitre une fois que j aurai redemarre le pc...

Modifié le 28 octobre 2007 par capt.atomix

Thanos · le 28 octobre 2007

salut @ vous deux

1) Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: BHOvX - {A27835AD-3A92-13DA-8324-0913200C9AA3} - C:\Program Files\BHOvX\ie-improver.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer = 85.255.114.99 85.255.112.229

-Ferme tous les programmes et clique sur "Fix Checked"

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

Poste un nouveau rapport hijackthis ainsi que le rapport DiagHelp qu'Apo y jette un oeil

capt.atomix · le 28 octobre 2007

DiagHelp version v1.3 - http://www.malekal.com

excute le dim. 28/10/2007 à 13:18:03,81

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->28/10/2007 13:17:25

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->28/10/2007 13:17:24

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->28/10/2007 13:15:17

C:\WINDOWS\prefetch\DWWIN.EXE-30875ADC.pf -->28/10/2007 13:14:07

C:\WINDOWS\prefetch\IEDW.EXE-1880380E.pf -->28/10/2007 13:14:04

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->28/10/2007 13:12:42

C:\WINDOWS\prefetch\WMIADAP.EXE-2DF425B2.pf -->28/10/2007 13:12:27

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->28/10/2007 13:11:08

C:\WINDOWS\prefetch\SCANNER.EXE-39844A37.pf -->28/10/2007 13:11:05

C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->28/10/2007 13:09:49

C:\WINDOWS\System32\drivers\USBCRFT.SYS -->28/10/2007 13:09:21

C:\WINDOWS\System32\drivers\avipbb.sys -->27/10/2007 15:54:56

C:\WINDOWS\System32\drivers\sptd.sys -->3/10/2007 18:43:03

C:\WINDOWS\System32\drivers\avgntdd.sys -->9/08/2007 12:04:11

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 13:22:19

C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 11:32:54

C:\WINDOWS\System32\drivers\ssmdrv.sys -->1/03/2007 9:34:36

C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 13:12:27

C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 13:12:27

C:\WINDOWS\System32\perfh009.dat -->28/10/2007 13:12:27

C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 13:12:27

C:\WINDOWS\System32\perfc009.dat -->28/10/2007 13:12:27

C:\WINDOWS\System32\nvapps.xml -->28/10/2007 13:09:19

C:\WINDOWS\System32\wpa.dbl -->28/10/2007 13:08:35

C:\WINDOWS\System32\tmp.txt -->27/10/2007 21:59:00

C:\WINDOWS\System32\tmp.reg -->27/10/2007 21:59:00

C:\WINDOWS\System32\FNTCACHE.DAT -->24/10/2007 20:52:24

C:\WINDOWS\System32\TZLog.log -->24/10/2007 17:42:33

C:\WINDOWS\System32\CmdLineExt.dll -->23/10/2007 2:02:33

C:\WINDOWS\System32\SI.bin -->3/10/2007 17:59:25

C:\WINDOWS\System32\MRT.exe -->27/09/2007 21:19:40

C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 7:17:23

C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\webcheck.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\urlmon.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\url.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\occache.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\mstime.dll -->20/08/2007 10:59:30

C:\WINDOWS\System32\msrating.dll -->20/08/2007 10:59:30

C:\WINDOWS\System32\mshtmled.dll -->20/08/2007 10:59:30

C:\WINDOWS\System32\mshtml.dll -->20/08/2007 10:59:30

C:\WINDOWS\System32\msfeedsbs.dll -->20/08/2007 10:59:30

C:\WINDOWS\ModemLog_Creatix V.92 Data Fax Modem.txt -->28/10/2007 13:08:31

C:\WINDOWS.log -->28/10/2007 13:08:31

C:\WINDOWS\WindowsUpdate.log -->28/10/2007 13:08:28

C:\WINDOWS\wiadebug.log -->28/10/2007 13:08:27

C:\WINDOWS\wiaservc.log -->28/10/2007 13:08:26

C:\WINDOWS\bootstat.dat -->28/10/2007 13:08:16

C:\WINDOWS\SchedLgU.Txt -->28/10/2007 13:06:12

C:\WINDOWS\win.ini -->27/10/2007 15:09:35

C:\WINDOWS\system.ini -->27/10/2007 15:09:35

C:\WINDOWS\spupdsvc.log -->24/10/2007 20:52:38

C:\WINDOWS\tsoc.log -->24/10/2007 17:53:21

C:\WINDOWS\ocmsn.log -->24/10/2007 17:53:21

C:\WINDOWS\ntdtcsetup.log -->24/10/2007 17:53:21

C:\WINDOWS\KB939653-IE7.log -->24/10/2007 17:53:21

C:\WINDOWS\imsins.log -->24/10/2007 17:53:21

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

explorer.exe pid: 1696

Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll

0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll

0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x02000000 0x2c000 C:\Program Files\WinRAR\rarext.dll

0x10000000 0x11000 7.00.0000.0010 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll

0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL

0x02330000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll

0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL

0x5a500000 0x4e000 8.01.0178.0000 C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll

0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll

0x16210000 0x27e000 5.02.5721.5145 C:\WINDOWS\system32\wpdshext.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x02740000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x07160000 0x46000 5.02.5721.5145 C:\WINDOWS\system32\Audiodev.dll

0x15110000 0x25a000 11.00.5721.5145 C:\WINDOWS\system32\WMVCore.DLL

0x11c70000 0x39000 11.00.5721.5145 C:\WINDOWS\system32\WMASF.DLL

0x01160000 0xc000 6.00.0001.1091 C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

winlogon.exe pid: 792

Command line: winlogon.exe

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x01290000 0xae000 1.05.0540.0000 C:\WINDOWS\system32\WgaLogon.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\WINDOWS\system32

05/08/2004 13:00 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 26.841.759.744 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\WINDOWS\Downloaded Program Files

25/10/2007 13:33 <REP> .

25/10/2007 13:33 <REP> ..

13/10/2004 20:25 65 desktop.ini

08/09/2004 21:38 1.271 erma.inf

17/01/2007 12:21 1.564 hardwaredetection.inf

26/05/2005 03:19 293 muweb.inf

22/08/2003 20:10 226 opuc.inf

20/04/2006 08:24 313 SpyMD.inf

09/11/2006 14:36 5.019 swflash.inf

03/08/2004 13:51 293 wuweb.inf

8 fichier(s) 9.044 octets

Total des fichiers listés :

8 fichier(s) 9.044 octets

2 Rép(s) 26.841.755.648 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-28 13:18:16

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:5f4c6ab3

"s2"=dword:34099899

"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:d8,7a,d2,de,7c,90,90,22,0f,e7,1e,32,cb,82,b3,ff,7c,84,a2,09,ee,..

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:39,13,91,8b,65,65,92,59,2d,54,b4,1f,0a,a1,4e,1d,b7,8d,63,be,23,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\CfgD79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:d8,7a,d2,de,7c,90,90,22,0f,e7,1e,32,cb,82,b3,ff,7c,84,a2,09,ee,..

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:39,13,91,8b,65,65,92,59,2d,54,b4,1f,0a,a1,4e,1d,b7,8d,63,be,23,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xd8\x2022\x20ac|\xff\xff\xff\xff\22\x2022\x20ac|\xf9\x2022\xd1w\2]

"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

220 - nvsvc32.exe

448 - wmpnetwk.exe

744 - csrss.exe

792 - winlogon.exe

836 - services.exe

848 - lsass.exe

996 - svchost.exe

1076 - svchost.exe

1116 - svchost.exe

1236 - svchost.exe

1488 - avguard.exe

1684 - alg.exe

1696 - explorer.exe

1888 - sched.exe

1948 - svchost.exe

2040 - mdm.exe

3120 - iexplore.exe

3756 - rundll32.exe

3784 - AGRSMMSG.exe

3812 - dragdiag.exe

3844 - avgnt.exe

3856 - ctfmon.exe

4028 - cmd.exe

Total number of processes = 24

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806FD000 - \WINDOWS\system32\hal.dll

F8A35000 - \WINDOWS\system32\KDCOM.DLL

F8945000 - \WINDOWS\system32\BOOTVID.dll

F842A000 - sptd.sys

F8A37000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F8412000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F83E3000 - ACPI.sys

F83D2000 - pci.sys

F8535000 - isapnp.sys

F8AFD000 - pciide.sys

F87B5000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F8A39000 - intelide.sys

F8545000 - MountMgr.sys

F83B3000 - ftdisk.sys

F87BD000 - PartMgr.sys

F8555000 - VolSnap.sys

F839B000 - atapi.sys

F8565000 - disk.sys

F8575000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F837B000 - fltMgr.sys

F8369000 - sr.sys

F8352000 - KSecDD.sys

F82C5000 - Ntfs.sys

F8298000 - NDIS.sys

F8585000 - ohci1394.sys

F8595000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F827D000 - Mup.sys

F85C5000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F8615000 - \SystemRoot\system32\DRIVERS\intelppm.sys

F6CA7000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

F6C93000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F6C6F000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys

F889D000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F6C4C000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F88A5000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F6BF6000 - \SystemRoot\system32\DRIVERS\Cap7134.sys

F8625000 - \SystemRoot\system32\DRIVERS\STREAM.SYS

F6BD3000 - \SystemRoot\system32\DRIVERS\ks.sys

F6A9E000 - \SystemRoot\system32\DRIVERS\AGRSM.sys

F88AD000 - \SystemRoot\System32\Drivers\Modem.SYS

F8635000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys

F88B5000 - \SystemRoot\system32\DRIVERS\fdc.sys

F6A8D000 - \SystemRoot\system32\DRIVERS\serial.sys

F8245000 - \SystemRoot\system32\DRIVERS\serenum.sys

F6A79000 - \SystemRoot\system32\DRIVERS\parport.sys

F88BD000 - \SystemRoot\system32\drivers\wbscr.sys

F8241000 - \SystemRoot\system32\drivers\SMCLIB.SYS

F8645000 - \SystemRoot\system32\DRIVERS\imapi.sys

F8655000 - \SystemRoot\System32\Drivers\AFS2K.SYS

F823D000 - \SystemRoot\system32\drivers\pfc.sys

F88C5000 - \SystemRoot\System32\Drivers\MxlW2k.SYS

F8665000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F8675000 - \SystemRoot\system32\DRIVERS\redbook.sys

F6A13000 - \SystemRoot\System32\Drivers\algi1s0c.SYS

F8C26000 - \SystemRoot\system32\DRIVERS\audstub.sys

F70F6000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7982000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F69B9000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F70E6000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F70D6000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F8925000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F69A8000 - \SystemRoot\system32\DRIVERS\psched.sys

F70C6000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F8935000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F893D000 - \SystemRoot\system32\DRIVERS\raspti.sys

F70B6000 - \SystemRoot\system32\DRIVERS\termdd.sys

F87CD000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F87F5000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F8A63000 - \SystemRoot\system32\DRIVERS\swenum.sys

F694F000 - \SystemRoot\system32\DRIVERS\update.sys

F7976000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F70A6000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F46E6000 - \SystemRoot\system32\drivers\cmudax.sys

F46C5000 - \SystemRoot\system32\drivers\portcls.sys

F7096000 - \SystemRoot\system32\drivers\drmk.sys

F7086000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F8A69000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F8805000 - \SystemRoot\system32\DRIVERS\PhTVTune.sys

F8A05000 - \SystemRoot\system32\drivers\MODEMCSA.sys

F8A6B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F8BB6000 - \SystemRoot\System32\Drivers\Null.SYS

F8A6D000 - \SystemRoot\System32\Drivers\Beep.SYS

F8815000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F881D000 - \SystemRoot\System32\drivers\vga.sys

F8A71000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F8A73000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F8825000 - \SystemRoot\System32\Drivers\Msfs.SYS

F882D000 - \SystemRoot\System32\Drivers\Npfs.SYS

F8A15000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F466A000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F4612000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F45EA000 - \SystemRoot\system32\DRIVERS\netbt.sys

F45A1000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F8685000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F457F000 - \SystemRoot\System32\drivers\afd.sys

F8695000 - \SystemRoot\system32\DRIVERS\netbios.sys

F8835000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

F4554000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F86A5000 - \SystemRoot\system32\DRIVERS\arp1394.sys

F44E5000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F86B5000 - \SystemRoot\System32\Drivers\Fips.SYS

F8A75000 - \SystemRoot\system32\DRIVERS\alcawh.sys

F8BCD000 - \SystemRoot\system32\DRIVERS\alcacr.sys

F86D5000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F8A77000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

F8845000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F4422000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F822D000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F8705000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F8A7D000 - \SystemRoot\system32\DRIVERS\UKBFLT.sys

F8229000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

F8225000 - \SystemRoot\system32\DRIVERS\mouhid.sys

F440A000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F8A8D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F8219000 - \SystemRoot\System32\drivers\Dxapi.sys

F8855000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F8B0E000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\nv4_disp.dll

BAD0C000 - \SystemRoot\system32\DRIVERS\AegisP.sys

BAD08000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

BA28B000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

B9988000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

B98CF000 - \SystemRoot\System32\Drivers\HTTP.sys

B982D000 - \SystemRoot\system32\DRIVERS\srv.sys

B973D000 - \SystemRoot\system32\DRIVERS\secdrv.sys

BAB28000 - \SystemRoot\system32\DRIVERS\alcaudsl.sys

B9340000 - \SystemRoot\system32\drivers\wdmaud.sys

B93C5000 - \SystemRoot\system32\DRIVERS\alcan5wn.sys

B9395000 - \SystemRoot\system32\drivers\sysaudio.sys

F85E5000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F8BE6000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 134

Liste des programmes installes

1300

1300_Help

1300Tour

1300Trb

Adobe Acrobat - Reader 6.0.2 Update

Adobe Flash Player 9 ActiveX

Adobe Reader 6.0.1 - Français

AiO_Scan

AIOMinimal

AiOSoftware

Archiveur WinRAR

Atomix.Atomix MP3 v2.3

AutoUpdate

Avira AntiVir PersonalEdition Classic

Azureus

Battlefield 2142

C-Media High Definition Audio Driver

CA Licensing

Complément Microsoft Word pour Microsoft Works Suite

Copy

Correctif pour Lecteur Windows Media 11 (KB939683)

Correctif pour Windows XP (KB914440)

Correctif Windows XP - KB834707

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

CreativeProjects

Creatix V.92 Data Fax Modem

DeviceControl

Director

DivX Player

DivX Pro

DkZ Studio

DocProc

DVD Shrink 3.2

EasyCleaner

eMule

Encyclopédie Microsoft Encarta 2005

Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP

Fax

Football Manager 2008

GameSpy Comrade

Generic USB CardReader 2.0

Heroes of Might & Magic V: Hammers of Fate

Heroes of Might and Magic V

High Definition Audio Driver Package - KB835221

HijackThis 2.0.2

Home Cinema

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix for Windows XP (KB915865)

Hotfix for Windows XP (KB926239)

HP PSC & OfficeJet 3.0

hpmdtab

HPpromotions

HPSystemDiagnostics

IncrediMail Xe

Informations sur votre PC

InstantShare

Java 2 Runtime Environment, SE v1.4.2_05

K-Lite Codec Pack 2.88 Full

Lecteur Windows Media 11

Macromedia Shockwave Player

MediaShow 3.0

Memories Disc Creator 2.0

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft AutoRoute 2005

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Digital Image Library 9 - Blocker

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft Money

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edition 2003

Microsoft Photo Premium 10

Microsoft Picture It! Album 10

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Works

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911280)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922760)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB936357)

Mise à jour pour Windows XP (KB938828)

Mise à niveau de Works

MSN

MSXML 4.0 SP2 (KB925672)

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

Musicmatch® Jukebox

Nero Suite

NVIDIA Drivers

Photo et imagerie HP 3.1

PhotoGallery

PhotoNow! 1.0

PowerCinema 3.0

PowerDirector

PowerDVD

PowerProducer

PrintScreen

Pro Evolution Soccer 6

QFolder

QuickProjects

QuickTime Alternative 1.70

RCT3 Soaked

Readme

RealPlayer

RollerCoaster Tycoon® 3

RT2500 USB Wireless LAN Card

Scan

Security Update pour Microsoft .NET Framework 2.0 (KB928365)

Sélecteur d'installation de Microsoft Works 2005

Shockwave

Sid Meier's Civilization 4

Sid Meier's Civilization 4 - Beyond the Sword

Sid Meier's Civilization 4 - Warlords

SkinsHP1

SkinsHP2

Smart Manager

Sony USB Driver

SpeedTouch USB Software

Spybot - Search & Destroy 1.4

TrayApp

Unload

Usb Joypad v1.22

USB Wireless Keyboard Driver

Utilitaire de sauvegarde Windows

videon

Visionneuse Journal Windows Microsoft

W83L518D

WebFldrs XP

WebReg

Windows Genuine Advantage Notifications (KB905474)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Player 11

World of Warcraft

Wow Cartographe 1.07

X10 Hardware

X3 Reunion

Xfire (remove only)

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\Program Files

27/10/2007 15:52 <REP> .

27/10/2007 15:52 <REP> ..

13/10/2004 22:17 <REP> Adobe

14/10/2004 08:51 <REP> Ahead

02/06/2006 06:34 <REP> Alcatel

09/11/2006 14:16 <REP> Alcohol Soft

04/08/2006 13:19 <REP> Atari

19/06/2006 06:01 <REP> AtomixMP3

27/10/2007 15:52 <REP> Avira

15/09/2007 16:33 <REP> Azureus

15/02/2007 16:19 <REP> CA

13/10/2004 21:50 <REP> Common Files

13/10/2004 20:24 <REP> ComPlus Applications

24/10/2004 18:38 <REP> CyberLink

07/06/2006 23:31 <REP> directx

14/10/2004 11:05 <REP> DivX

26/07/2006 15:06 <REP> DVD Shrink

23/10/2007 01:28 <REP> eMule

14/10/2004 09:53 <REP> Encarta

19/10/2007 02:55 <REP> Fichiers communs

20/09/2006 12:43 <REP> Google

13/10/2004 22:39 <REP> HighMAT CD Writing Wizard

24/10/2004 18:39 <REP> Home Cinema

24/10/2007 08:45 <REP> HP

15/11/2006 23:50 <REP> IncrediMail

13/10/2004 21:26 <REP> Intel

24/10/2007 20:51 <REP> Internet Explorer

14/10/2004 10:36 <REP> Java

16/04/2007 01:33 <REP> K-Lite Codec Pack

14/06/2006 22:54 <REP> Media Player Classic

14/10/2004 11:08 <REP> Medion Tools

04/06/2006 02:29 <REP> Messenger

14/10/2004 09:56 <REP> Microsoft AutoRoute

13/10/2004 20:26 <REP> microsoft frontpage

14/10/2004 09:48 <REP> Microsoft Money 2005

06/06/2006 06:31 <REP> Microsoft Office

06/06/2006 06:31 <REP> Microsoft Visual Studio

12/11/2004 18:54 <REP> Microsoft Works

14/10/2004 09:40 <REP> Microsoft Works Suite 2005

06/06/2006 06:30 <REP> Microsoft.NET

13/10/2004 20:24 <REP> Movie Maker

24/11/2006 16:47 <REP> MSN

13/10/2004 20:23 <REP> MSN Gaming Zone

17/09/2007 16:06 <REP> MSN Messenger

14/10/2006 01:57 <REP> MSXML 4.0

24/10/2004 18:41 <REP> MUSICMATCH

24/10/2004 18:29 <REP> muvee Technologies

13/10/2004 20:24 <REP> NetMeeting

12/11/2004 19:57 <REP> OfficeUpdate11

13/10/2004 20:23 <REP> Online Services

24/10/2007 17:41 <REP> Outlook Express

25/10/2007 13:33 <REP> Panda Security

14/10/2004 09:52 <REP> Picture It! Premium 10

14/06/2006 22:55 <REP> QuickTime Alternative

13/10/2004 21:41 <REP> RALINK

14/10/2004 08:41 <REP> Real

13/10/2004 20:24 <REP> Services en ligne

12/08/2007 00:36 <REP> Spybot - Search & Destroy

24/10/2007 07:31 <REP> ToniArts

26/10/2007 05:25 <REP> Trend Micro

13/10/2004 21:40 <REP> USB Wireless Keyboard Driver

13/10/2004 22:18 <REP> Winbond Electronics Corp

13/10/2004 21:53 <REP> WinDlg

13/10/2004 21:07 <REP> Windows Journal Viewer

12/12/2006 10:07 <REP> Windows Media Connect

12/12/2006 10:10 <REP> Windows Media Connect 2

05/02/2007 06:42 <REP> Windows Media Player

13/10/2004 20:23 <REP> Windows NT

22/08/2006 12:56 <REP> WinRAR

13/10/2004 21:50 <REP> X10 Hardware

13/10/2004 20:26 <REP> xerox

0 fichier(s) 0 octets

71 Rép(s) 26.817.667.072 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\Program Files\fichiers communs

19/10/2007 02:55 <REP> .

19/10/2007 02:55 <REP> ..

19/06/2006 02:04 <REP> Adobe

14/10/2004 08:51 <REP> Ahead

04/07/2007 15:01 <REP> Blizzard Entertainment

13/10/2004 22:18 <REP> Borland Shared

01/07/2007 00:22 <REP> Cisco Systems

06/06/2006 06:31 <REP> DESIGNER

05/06/2006 21:25 <REP> Hewlett-Packard

05/06/2006 21:24 <REP> HP

30/10/2006 13:50 <REP> InstallShield

14/10/2004 10:35 <REP> Java

24/10/2007 17:49 <REP> Microsoft Shared

13/10/2004 20:24 <REP> MSSoap

24/10/2004 18:29 <REP> muvee Technologies

13/10/2004 22:19 <REP> ODBC

04/08/2006 13:22 <REP> PocketSoft

14/10/2004 08:41 <REP> Real

13/10/2004 20:24 <REP> Services

13/10/2004 22:19 <REP> SpeechEngines

24/10/2007 17:41 <REP> System

14/10/2004 08:41 <REP> xing shared

0 fichier(s) 0 octets

22 Rép(s) 26.817.662.976 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

24/10/2007 17:50 <REP> .

24/10/2007 17:50 <REP> ..

06/06/2006 06:31 <REP> 1033

24/10/2007 17:50 <REP> 1036

20/09/2005 11:33 1.293.008 MSONSEXT.DLL

22/03/2007 18:29 39.256 MSOSV.DLL

03/06/1999 11:09 122.937 MSOWS409.DLL

07/03/2001 06:00 127.033 MSOWS40c.DLL

11/07/2003 01:25 80.448 PKMWS.DLL

5 fichier(s) 1.662.682 octets

4 Rép(s) 26.817.662.976 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le numéro de série du volume est C06C-A75F

Répertoire de C:\Program Files\common files

13/10/2004 21:50 <REP> .

13/10/2004 21:50 <REP> ..

13/10/2004 21:50 <REP> X10

0 fichier(s) 0 octets

3 Rép(s) 26.817.662.976 octets libres

c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{EABE2A27-9452-472E-9389-EFF410E956E1}\NewShortcut1_EABE2A279452472E9389EFF410E956E1.exe

c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{EABE2A27-9452-472E-9389-EFF410E956E1}\NewShortcut1_EABE2A279452472E9389EFF410E956E1.exe

c:\Documents and Settings\Olivier\Application Data\Microsoft\Installer\{EABE2A27-9452-472E-9389-EFF410E956E1}\NewShortcut1_EABE2A279452472E9389EFF410E956E1.exe

c:\Documents and Settings\Olivier\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\Olivier\Bureau\ComboFix.exe

c:\Documents and Settings\Olivier\Bureau\Fixwareout.exe

c:\Documents and Settings\Olivier\Bureau\HJTInstall.exe

c:\Documents and Settings\Olivier\Bureau\VirtumundoBeGone.exe

c:\Documents and Settings\Olivier\Bureau\VundoFix.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Olivier\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\a2cmd.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\a2service.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\catchme.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\cliptext.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\download.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\ERUNT.EXE

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\FixPath.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\isadmin.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\LS.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\MD5File.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\moveex.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\procs.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\psservice.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\RegDACL.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\regedit.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\RestartIt!.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\sc.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\SF.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\shutdown.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\swreg.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\swsc.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\unzip.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\WINMSG.EXE

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\zip.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\Replace\W2K.exe

c:\Documents and Settings\Olivier\Bureau\sdfix\SDFix\apps\Replace\XP.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\dumphive.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\exit.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\Process.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\Reboot.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\restart.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\swreg.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\swsc.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\unzip.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\Olivier\Bureau\SmitFraudFix\SmitfraudFix\WS2Fix.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\Olivier\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_OLIVION.tar.gz a l'adresse http://upload.malekal.com

Et pour finir le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:32:23, on 28/10/2007