[Résolu Par Wong] Rapport Hijack

kikidrif · le 8 novembre 2007

Hop voilà donc le rapport demandé

Search Navipromo version 3.3.4 commencé le 08/11/2007 à 16:50:00,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32

- C:\DOCUME~1\ADMINI~1.XPS\LOCALS~1\APPLIC~1

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\ADMINI~1.XPS\LOCALS~1\APPLIC~1 *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse terminée le 08/11/2007 à 16:50:29,53 ***

Y à pas comme qui dirait un problème là ? Pcque pour le rapport est faussé par quelque chose non ?

Modifié le 8 novembre 2007 par kikidrif

wong · le 8 novembre 2007

RE kikidrif,

Les indications que tu as données concernant les pages de pub, et les 4 lignes 04 dans ton rapport HijackThis étaient caractéristiques de l'infection Magic.Control.

Est-ce que ton ami n'avais pas déjà passé Navilog1 ?

Vérification des certificats

Cliques sur Démarrer
Cliques sur Panneau de configuration
Cliques sur Options internet
Cliques sur Onglet "Contenu"
Cliques sur Onglet "Certificats"
Si tu trouves ceci, en particulier dans "éditeurs approuvés":
electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
Supprimes les et donne moi les indications si trouvés

Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip]DiagHelp.zip

Enregistre le sur ton bureau
Ne double-clic pas dessus ! Fais un clic droit sur le fichier et extraire tout
Un nouveau dossier chercher va être créer DiagHelp
Ouvre le et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ).
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur.
Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note. Ce dernier se trouve sur C:\resultat.txt
Copie/colle le contenu complet du bloc-note dans ta prochaine réponse

Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

Cordialement.

kikidrif · le 8 novembre 2007

Bonsoir Wong,

Donc non mon ami n'avait pas passé Navilog il ne connait d'ailleurs même pas ce logiciel.

Pour les certificats rien à signaler, je n'ai d'ailleurs pas trouvé ceux que tu m'indiqué.

Et donc voici le rapport de diaghelp.

DiagHelp version v1.3 - http://www.malekal.com

excute le 08/11/2007 à 19:45:32,90

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->08/11/2007 19:45:31

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->08/11/2007 19:44:41

C:\WINDOWS\prefetch\NOD32KUI.EXE-18BC85CE.pf -->08/11/2007 19:38:27

C:\WINDOWS\prefetch\REGEDT32.EXE-11878ACD.pf -->08/11/2007 19:38:18

C:\WINDOWS\prefetch\REGEDIT.EXE-1B606482.pf -->08/11/2007 19:38:18

C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->08/11/2007 19:38:16

C:\WINDOWS\prefetch\UPDCLIENT.EXE-215FC96B.pf -->08/11/2007 19:37:18

C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->08/11/2007 19:37:17

C:\WINDOWS\prefetch\SVCHOST.EXE-3530F672.pf -->08/11/2007 19:37:17

C:\WINDOWS\prefetch\NVSVC32.EXE-1F9EED18.pf -->08/11/2007 19:37:17

C:\WINDOWS\System32\drivers\KProcCheck.sys -->02/09/2007 20:37:44

C:\WINDOWS\System32\drivers\TCPIP.SYS -->25/06/2007 14:54:47

C:\WINDOWS\System32\drivers\TCPIP.SYS.ORIGINAL -->25/06/2007 14:54:10

C:\WINDOWS\System32\drivers\imagesrv.sys -->16/05/2007 17:19:52

C:\WINDOWS\System32\drivers\imagedrv.sys -->16/05/2007 17:19:50

C:\WINDOWS\System32\drivers\lvuvc.hs -->13/05/2007 17:56:09

C:\WINDOWS\System32\drivers\blueletaudio.sys -->11/05/2007 02:10:50

C:\WINDOWS\System32\zllictbl.dat -->08/11/2007 19:36:44

C:\WINDOWS\System32\vsconfig.xml -->08/11/2007 19:36:42

C:\WINDOWS\System32\nvapps.xml -->08/11/2007 19:36:31

C:\WINDOWS\System32\FNTCACHE.DAT -->08/11/2007 19:36:09

C:\WINDOWS\System32\wpa.dbl -->08/11/2007 19:35:47

C:\WINDOWS\System32\imon1.dat -->05/11/2007 17:29:28

C:\WINDOWS\System32\CmdLineExt.dll -->05/11/2007 17:26:27

C:\WINDOWS\System32\PerfStringBackup.INI -->01/11/2007 04:19:51

C:\WINDOWS\System32\perfh00C.dat -->01/11/2007 04:19:51

C:\WINDOWS\System32\perfh009.dat -->01/11/2007 04:19:51

C:\WINDOWS\System32\perfc00C.dat -->01/11/2007 04:19:51

C:\WINDOWS\System32\perfc009.dat -->01/11/2007 04:19:51

C:\WINDOWS\System32\LegitCheckControl.dll -->24/10/2007 22:59:47

C:\WINDOWS\System32\MRT.exe -->28/09/2007 06:19:39

C:\WINDOWS\System32\TZLog.log -->30/08/2007 07:45:37

C:\WINDOWS\System32 -->25/08/2007 11:33:32

C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 07:17:23

C:\WINDOWS\System32\mshtml.dll -->20/08/2007 14:29:32

C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\webcheck.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\urlmon.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\url.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\occache.dll -->20/08/2007 10:59:31

C:\WINDOWS\System32\mstime.dll -->20/08/2007 10:59:30

C:\WINDOWS\System32\msrating.dll -->20/08/2007 10:59:30

C:\WINDOWS.log -->08/11/2007 19:36:41

C:\WINDOWS\wiadebug.log -->08/11/2007 19:36:40

C:\WINDOWS\wiaservc.log -->08/11/2007 19:36:39

C:\WINDOWS\bootstat.dat -->08/11/2007 19:35:46

C:\WINDOWS\MEMORY.DMP -->08/11/2007 19:35:41

C:\WINDOWS\SchedLgU.Txt -->08/11/2007 19:00:00

C:\WINDOWS\setupapi.log -->08/11/2007 17:44:03

C:\WINDOWS\NeroDigital.ini -->08/11/2007 15:00:14

C:\WINDOWS\WindowsUpdate.log -->07/11/2007 19:28:30

C:\WINDOWS\win.ini -->06/11/2007 14:32:03

C:\WINDOWS\system.ini -->06/11/2007 14:32:03

C:\WINDOWS\mozver.dat -->29/10/2007 07:14:38

C:\WINDOWS\QTFont.qfn -->26/09/2007 13:17:23

C:\WINDOWS\QTFont.for -->26/09/2007 13:17:23

C:\WINDOWS\PhotoSnapViewer.INI -->24/09/2007 08:59:50

MD5 des fichiers sensibles

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

explorer.exe pid: 212

Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll

0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll

0x01590000 0x17000 9.05.0000.1098 C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

0x10000000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL

0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCR71.dll

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll

0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL

0x021c0000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x02220000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x02660000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x00e60000 0xf000 3.03.0007.0000 C:\Program Files\RealVNC\WinVNC\VNCHooks.dll

0x41f00000 0x7000 1.01.0000.3917 C:\WINDOWS\system32\asfsipc.dll

0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL

0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll

0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL

0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

winlogon.exe pid: 804

Command line: winlogon.exe

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x01910000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 131 999 719 424 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\WINDOWS\Downloaded Program Files

31/10/2007 23:27 <REP> .

31/10/2007 23:27 <REP> ..

31/03/2007 15:00 65 desktop.ini

25/07/2002 16:13 24 576 dwusplay.dll

25/07/2002 16:13 196 608 dwusplay.exe

25/07/2002 16:05 172 032 isusweb.dll

11/06/2007 12:21 5 021 swflash.inf

5 fichier(s) 398 302 octets

Total des fichiers listés :

5 fichier(s) 398 302 octets

2 Rép(s) 131 999 715 328 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

C:\Program Files\Advert présent! Possible infection : lop.com

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMuleMorphXT"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

REGEDIT4

[taskmgr.exe]

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!

Make sure you are running this as Administrator.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F7987000 - \WINDOWS\system32\KDCOM.DLL

F7897000 - \WINDOWS\system32\BOOTVID.dll

F75A7000 - ACPI.sys

F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F7596000 - pci.sys

F75F7000 - isapnp.sys

F7607000 - ohci1394.sys

F7617000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F7A4F000 - PCIIde.sys

F7707000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS

F7627000 - MountMgr.sys

F74D7000 - ftdisk.sys

F798B000 - dmload.sys

F74B1000 - dmio.sys

F770F000 - PartMgr.sys

F7637000 - VolSnap.sys

F7499000 - atapi.sys

F7483000 - nvatabus.sys

F7647000 - disk.sys

F7657000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F7463000 - fltMgr.sys

F7717000 - PxHelp20.sys

F744C000 - KSecDD.sys

F7B52000 - Ntfs.sys

F741F000 - NDIS.sys

F789B000 - vbtenum.sys

F740B000 - srescan.sys

F798D000 - sfhlp01.sys

F798F000 - prosync1.sys

F787F000 - \WINDOWS\System32\drivers\SCSIPORT.SYS

F7867000 - prohlp02.sys

F771F000 - nv_agp.sys

F7727000 - nvcchflt.sys

F784D000 - Mup.sys

F772F000 - BTHidMgr.sys

F7697000 - \SystemRoot\system32\DRIVERS\nic1394.sys

BAF88000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F77D7000 - \SystemRoot\system32\DRIVERS\fdc.sys

B9CC3000 - \SystemRoot\system32\DRIVERS\parport.sys

BAF78000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F77DF000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F77E7000 - \SystemRoot\system32\DRIVERS\mouclass.sys

B9CB2000 - \SystemRoot\system32\DRIVERS\serial.sys

BAFEC000 - \SystemRoot\system32\DRIVERS\serenum.sys

F77EF000 - \SystemRoot\system32\DRIVERS\usbohci.sys

B9C8F000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F77F7000 - \SystemRoot\system32\DRIVERS\usbehci.sys

B9C78000 - \SystemRoot\system32\DRIVERS\NVENET.sys

B98AF000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

B988B000 - \SystemRoot\system32\drivers\portcls.sys

BAF58000 - \SystemRoot\system32\drivers\drmk.sys

B9868000 - \SystemRoot\system32\drivers\ks.sys

B3285000 - \SystemRoot\system32\drivers\HCWBT8XX.sys

AEA99000 - \SystemRoot\system32\drivers\STREAM.SYS

AEA79000 - \SystemRoot\system32\DRIVERS\cdrom.sys

AEA69000 - \SystemRoot\system32\DRIVERS\redbook.sys

B3A5B000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys

AEA59000 - \SystemRoot\system32\DRIVERS\imapi.sys

ADBA0000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

ADB8C000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

AEA49000 - \SystemRoot\System32\Drivers\VcommMgr.sys

AE31C000 - \SystemRoot\system32\DRIVERS\blueletaudio.sys

AE304000 - \SystemRoot\system32\DRIVERS\BlueletSCOAudio.sys

AE889000 - \SystemRoot\system32\DRIVERS\audstub.sys

F79ED000 - \SystemRoot\System32\Drivers\RootMdm.sys

AE2EC000 - \SystemRoot\System32\Drivers\Modem.SYS

AE3AC000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

AE358000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

ADB75000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

AE39C000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

AE38C000 - \SystemRoot\system32\DRIVERS\raspptp.sys

AE2E4000 - \SystemRoot\system32\DRIVERS\TDI.SYS

ADB64000 - \SystemRoot\system32\DRIVERS\psched.sys

AE37C000 - \SystemRoot\system32\DRIVERS\msgpc.sys

AE053000 - \SystemRoot\system32\DRIVERS\ptilink.sys

AE04B000 - \SystemRoot\system32\DRIVERS\raspti.sys

AE340000 - \SystemRoot\system32\DRIVERS\btnetdrv.sys

AE033000 - \SystemRoot\system32\DRIVERS\VComm.sys

ADB33000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

AE36C000 - \SystemRoot\system32\DRIVERS\termdd.sys

F79F5000 - \SystemRoot\system32\DRIVERS\swenum.sys

ADAFF000 - \SystemRoot\system32\DRIVERS\update.sys

AE338000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

B3AC3000 - \SystemRoot\System32\Drivers\NDProxy.SYS

B3AA3000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7A07000 - \SystemRoot\system32\DRIVERS\USBD.SYS

AE023000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F799B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

B24D4000 - \SystemRoot\System32\Drivers\Null.SYS

F799D000 - \SystemRoot\System32\Drivers\Beep.SYS

AE013000 - \SystemRoot\System32\drivers\vga.sys

F799F000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

AE00B000 - \SystemRoot\System32\Drivers\Msfs.SYS

B3A4B000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7917000 - \SystemRoot\system32\DRIVERS\rasacd.sys

AB99F000 - \SystemRoot\system32\DRIVERS\ipsec.sys

AB947000 - \SystemRoot\system32\DRIVERS\tcpip.sys

AB91F000 - \SystemRoot\system32\DRIVERS\netbt.sys

AB8C0000 - \SystemRoot\System32\vsdatant.sys

F794B000 - \SystemRoot\System32\drivers\ws2ifsl.sys

AB89E000 - \SystemRoot\System32\drivers\afd.sys

B23ED000 - \SystemRoot\system32\DRIVERS\netbios.sys

AB873000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B23DD000 - \SystemRoot\System32\drivers\prodrv06.sys

F79A5000 - \SystemRoot\system32\drivers\nod32drv.sys

AB804000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

AB7F0000 - \??\C:\Program Files\UltraISO\drivers\ISODrive.sys

B23BD000 - \SystemRoot\System32\Drivers\Fips.SYS

B239D000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B2F15000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

AB7DA000 - \SystemRoot\System32\Drivers\dump_nvatabus.sys

F79B5000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

BAF20000 - \SystemRoot\System32\drivers\Dxapi.sys

B2F0D000 - \SystemRoot\System32\watchdog.sys

B9CE7000 - \SystemRoot\system32\DRIVERS\wanarp.sys

B9CD7000 - \SystemRoot\system32\DRIVERS\arp1394.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

B2447000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\nv4_disp.dll

B3D2F000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

BFFA0000 - \SystemRoot\System32\ATMFD.DLL

AA190000 - \SystemRoot\system32\drivers\wdmaud.sys

AE3DC000 - \SystemRoot\system32\drivers\sysaudio.sys

F79D9000 - \SystemRoot\System32\Drivers\ParVdm.SYS

A9DFF000 - \SystemRoot\system32\drivers\amon.sys

A9CE9000 - \SystemRoot\system32\DRIVERS\srv.sys

AE32C000 - \??\C:\WINDOWS\system32\drivers\LVPrcMon.sys

A9A78000 - \SystemRoot\System32\Drivers\HTTP.sys

A9045000 - \SystemRoot\system32\drivers\kmixer.sys

BA93A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 133

Liste des programmes installes

2350

2350_Help

2350Trb

Adobe Anchor Service CS3

Adobe Asset Services CS3

Adobe Bridge CS3

Adobe Bridge Start Meeting

Adobe Camera Raw 4.0

Adobe CMaps

Adobe Color - Photoshop Specific

Adobe Color Common Settings

Adobe Color EU Extra Settings

Adobe Color JA Extra Settings

Adobe Color NA Recommended Settings

Adobe Default Language CS3

Adobe Device Central CS3

Adobe ExtendScript Toolkit 2

Adobe Flash CS3

Adobe Flash CS3 Professional

Adobe Flash Player 9 ActiveX

Adobe Flash Player 9 Plugin

Adobe Flash Video Encoder

Adobe Fonts All

Adobe Help Viewer CS3

Adobe Linguistics CS3

Adobe PDF Library Files

Adobe Photoshop CS3

Adobe Reader 8.1.1 - Français

Adobe Setup

Adobe Shockwave Player

Adobe Stock Photos CS3

Adobe Type Support

Adobe Update Manager CS3

Adobe Version Cue CS3 Client

Adobe WinSoft Linguistics Plugin

Adobe XMP Panels CS3

AGEIA PhysX v7.05.17

AiO_Scan

AiOSoftware

Apple Mobile Device Support

Apple Software Update

Archiveur WinRAR

AviSynth 2.5

Bluesoleil2.6.0.8 Release 070517

BSPlayer

BufferChm

Casse-brique DELUXE

CCleaner (remove only)

Copy

Correctif pour Lecteur Windows Media 11 (KB939683)

Correctif pour Windows XP (KB914440)

CreativeProjects

CreativeProjectsTemplates

CueTour

Destinations

Director

DocProc

DocumentViewer

eMulev0.48a.-MorphXTv10.4

eoEngine 4.9

EoFlip 1.2

EVEREST Ultimate Edition v4.00

Fax

Fire Department

GTA San Andreas

GTR 2 1.0.0.0

Hauppauge French Help Files and Resources

Hauppauge WinTV Scheduler

Hauppauge WinTV Soft PVR

Hauppauge WinTV Source Selector

Hauppauge WinTV2000

HijackThis 2.0.2

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix for Windows XP (KB915865)

Hotfix for Windows XP (KB926239)

HP Diagnostic Assistant

HP Image Zone 4.2

HP PSC & OfficeJet 4.2

HP Software Update

HPSystemDiagnostics

InstantShare

iTunes

Java SE Runtime Environment 6 Update 1

jv16 PowerTools 2007

Labtec WebCam

Lecteur Windows Media 11

Logiciel QuickCam de Logitech

Macromedia Extension Manager

Macromedia Flash 8

Macromedia Flash 8 Video Encoder

Macromedia Flash Player 8

Messenger Plus! Live & Sponsor (CiD)

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft Album photo 10

Microsoft AutoRoute 2006

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Digital Image Library 9 - Blocker

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Access MUI (French) 2007

Microsoft Office Excel MUI (French) 2007

Microsoft Office InfoPath MUI (French) 2007

Microsoft Office Outlook MUI (French) 2007

Microsoft Office PowerPoint MUI (French) 2007

Microsoft Office Professional Plus 2007

Microsoft Office Proof (Arabic) 2007

Microsoft Office Proof (Dutch) 2007

Microsoft Office Proof (English) 2007

Microsoft Office Proof (French) 2007

Microsoft Office Proof (German) 2007

Microsoft Office Proof (Spanish) 2007

Microsoft Office Proofing (French) 2007

Microsoft Office Publisher MUI (French) 2007

Microsoft Office Shared MUI (French) 2007

Microsoft Office Word MUI (French) 2007

Microsoft Photo Pro 10

Microsoft Photo Pro Suite 10

Microsoft Software Update for Web Folders (French) 12

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Works

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928090)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB929338)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB938828)

Mozilla Firefox (2.0.0.9)

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

Navilog1 3.3.4

Need for Speedâ„¢ Carbon

Nero 7 Premium

neroxml

NOD32 Antivirus System

NOD32 FiX v2.1

NVIDIA Drivers

Online Manuals for WinTV (French)

Overland

PDF Settings

Permis de construire Expert CAD

PhotoFiltre Studio

PhotoGallery

PrintScreen

ProductContext

Programme de gestion Camera de Logitech®

QFolder

QuickProjects

Race Driver 3

Readme

Realtek AC'97 Audio

SageTV

Scan

Security Update for CAPICOM (KB931906)

Security Update for Excel 2007 (KB936509)

Security Update for Office 2007 (KB934062)

Security Update for Office 2007 (KB936514)

Security Update for Publisher 2007 (KB936646)

Security Update for the 2007 Microsoft Office System (KB936960)

Security Update pour Microsoft .NET Framework 2.0 (KB928365)

Serv-U

SkinsHP1

SpeechRedist

Splinter Cell Pandora Tomorrow

Super impression photos

Tom Clancy's Ghost Recon Advanced Warfighter® 2

TrayApp

TRS2007

TuneUp Utilities 2007

UltraISO Premium V8.6

Unload

Unreal Tournament 2004

Update for Office 2007 (KB932080)

Update for Office 2007 (KB934391)

Update for Office 2007 (KB934393)

Update for Outlook 2007 (KB937608)

Update for Outlook 2007 Junk Email Filter (kb942575)

Update for Word 2007 (KB934173)

VEMoDe 1.0b

VideoLAN VLC media player 0.8.6b

VNC 3.3.7

VTPlus32 pour WinTV (French)

WebFldrs XP

WebReg

Windows Internet Explorer 7

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Player 11

ZoneAlarm Pro

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\Program Files

08/11/2007 16:40 <REP> .

08/11/2007 16:40 <REP> ..

07/11/2007 23:22 <REP> Adobe

04/06/2007 09:38 <REP> Adverts

30/08/2007 15:25 <REP> AGEIA Technologies

03/09/2007 21:11 <REP> Anuman Interactive

26/09/2007 13:15 <REP> Apple Software Update

01/04/2007 13:51 <REP> AviSynth 2.5

07/11/2007 23:01 <REP> Bonjour

09/05/2007 12:16 <REP> Boonty

09/05/2007 12:13 <REP> BoontyGames

08/11/2007 06:40 <REP> CCleaner

31/03/2007 12:57 <REP> ComPlus Applications

13/05/2007 17:41 <REP> directx

31/03/2007 13:29 <REP> Driver-Soft

08/11/2007 12:04 <REP> eMule

06/11/2007 12:42 <REP> eoRezo

11/06/2007 09:13 <REP> ESET

07/11/2007 23:04 <REP> Fichiers communs

24/10/2007 20:38 <REP> Flashfxp 10.45 fr

25/06/2007 14:05 <REP> Free Spider

07/04/2007 09:42 <REP> Frey Technologies

24/10/2007 20:44 <REP> Google

31/03/2007 13:37 <REP> HardwareDetection

17/06/2007 10:03 <REP> Hardwood Solitaire III

22/04/2007 14:23 <REP> Hewlett-Packard

22/04/2007 14:28 <REP> HP

10/10/2007 12:43 <REP> Internet Explorer

26/09/2007 13:16 <REP> iPod

19/10/2007 10:30 <REP> iTunes

25/08/2007 11:33 <REP> IVT Corporation

14/05/2007 18:46 <REP> Java

24/10/2007 22:22 <REP> jv16 PowerTools 2007

13/05/2007 17:39 <REP> Labtec

31/03/2007 22:00 <REP> Larousse

04/07/2007 20:32 <REP> Lavalys

13/05/2007 17:51 <REP> Logitech

06/11/2007 11:29 <REP> Macromedia

15/10/2007 12:19 <REP> Messenger Plus! Live

31/03/2007 22:04 <REP> Microsoft AutoRoute

10/05/2007 08:30 <REP> Microsoft CAPICOM 2.1.0.2

24/04/2007 10:31 <REP> Microsoft Digital Image 10

31/03/2007 13:06 <REP> microsoft frontpage

06/04/2007 18:33 <REP> Microsoft Office

06/04/2007 18:33 <REP> Microsoft Visual Studio

06/04/2007 18:33 <REP> Microsoft Works

06/04/2007 10:39 <REP> Monte Cristo

31/03/2007 14:58 <REP> Movie Maker

08/11/2007 19:07 <REP> Mozilla Firefox

06/04/2007 18:33 <REP> MSBuild

31/03/2007 15:02 <REP> msn gaming zone

15/10/2007 12:19 <REP> MSN Messenger

31/03/2007 19:43 <REP> MSXML 4.0

08/11/2007 16:50 <REP> Navilog1

17/09/2007 16:11 <REP> Nero

31/03/2007 13:06 <REP> netmeeting

19/06/2007 13:50 <REP> Odebit Multimédia

13/06/2007 10:12 <REP> Outlook Express

21/08/2007 17:38 <REP> PhotoFiltre Studio

07/11/2007 23:03 <REP> QuickTime

15/09/2007 08:47 <REP> Real

17/06/2007 17:48 <REP> RealVNC

15/09/2007 08:47 774 144 RngInterstitial.dll

17/05/2007 17:06 <REP> Ruckus Buck's Grave Marker

04/11/2007 10:17 <REP> Serv-U

17/05/2007 17:05 <REP> Silver Creek Installer

31/03/2007 16:10 <REP> TuneUp Utilities 2007

24/08/2007 16:25 <REP> Ubisoft

07/11/2007 23:05 <REP> UltraISO

30/10/2007 03:05 <REP> VEMoDe 1.0b

01/04/2007 11:42 <REP> VideoLAN

03/09/2007 10:22 <REP> vtplus

31/03/2007 15:42 <REP> Webteh

04/06/2007 09:38 <REP> Windows Live

19/08/2007 14:43 <REP> Windows Media Connect 2

19/08/2007 14:43 <REP> Windows Media Player

31/03/2007 13:06 <REP> Windows NT

31/03/2007 15:41 <REP> WinRAR

11/10/2007 15:39 <REP> WinTV

31/03/2007 13:06 <REP> xerox

31/03/2007 16:03 <REP> Zone Labs

1 fichier(s) 774 144 octets

80 Rép(s) 131 984 601 088 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\Program Files\fichiers communs

07/11/2007 23:04 <REP> .

07/11/2007 23:04 <REP> ..

07/11/2007 23:21 <REP> Adobe

17/09/2007 16:13 <REP> Ahead

13/09/2007 14:58 <REP> Apple

06/04/2007 18:33 <REP> DESIGNER

07/11/2007 23:04 <REP> EZB Systems

22/04/2007 14:22 <REP> Hewlett-Packard

22/04/2007 14:25 <REP> HP

13/05/2007 17:38 <REP> InstallShield

14/05/2007 18:45 <REP> Java

13/05/2007 17:53 <REP> Logitech

06/11/2007 11:32 <REP> Macromedia

07/11/2007 22:52 <REP> Macrovision Shared

06/04/2007 18:33 <REP> Microsoft Shared

31/03/2007 12:59 <REP> MSSoap

31/03/2007 14:50 <REP> ODBC

15/09/2007 09:01 <REP> Real

31/03/2007 14:59 <REP> Services

31/03/2007 14:50 <REP> SpeechEngines

13/06/2007 10:12 <REP> System

30/08/2007 15:25 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

22 Rép(s) 131 984 601 088 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

06/04/2007 18:33 <REP> .

06/04/2007 18:33 <REP> ..

06/04/2007 18:30 <REP> 1036

26/10/2006 18:49 970 528 MSONSEXT.DLL

26/10/2006 19:12 40 256 MSOSV.DLL

03/06/1999 11:09 122 937 MSOWS409.DLL

07/03/2001 06:00 127 033 MSOWS40c.DLL

4 fichier(s) 1 260 754 octets

3 Rép(s) 131 984 601 088 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 1487-91A3

Répertoire de C:\

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\Microsoft\Installer\{885A63EA-382B-4DD4-A755-14809B8557D6}\ARPPRODUCTICON.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\Microsoft\Installer\{88D422DB-E9C7-4E16-9D80-2999F4FD6AD9}\ARPPRODUCTICON.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\FivePeakBoltHelp.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\ford shim.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\ONLINESETUPANTI.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\xgsazhas.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\HijackThis.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\Navilog1.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\siw.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Local Settings\Temp\patch.exe

c:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer\Installer Cache\iTunes 7.4.2.4\iTunesSetupAdmin.exe

c:\Documents and Settings\All Users.WINDOWS\Application Data\openbiasaxiselse\Team bits.exe

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\Mozilla\Firefox\Profiles\2uppktf3.default\extensions\{0784CD66-62FE-4cef-ABF4-F8ED9B654ACC}\components\tab_effect_xpcom.dll

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Local Settings\Application Data\Macromedia\Flash 8\fr\Configuration\External Libraries\FLfile.dll

c:\Documents and Settings\All Users.WINDOWS\Application Data\Hewlett-Packard\Diagnostic Assistant\data\hprbevdb.dll

c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users.WINDOWS\Application Data\Nero\DrWeb\Drweb32.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_XPSP2-DA73EB9D1.tar.gz a l'adresse http://upload.malekal.com

Modifié le 8 novembre 2007 par kikidrif

wong · le 9 novembre 2007

Bonjour kikidrif,

Sur le PC il y a le logiciel EoRezo qui affiche des publicités. Lis ce Tuto de Malekal_morte : http://www.malekal.com/RegiePublicite.php

Tu m'indiqueras ta décision de ton ami ( le garder ou le supprimer ).

Pour te faire une procédure pour supprimer Lop.com, j'ai besoin d'un rapport.

Fichier findlopjob

Création du fichier findlopjob.bat

Faire un copier/coller de la ligne ci-dessous ( dans la zone "Code" ) dans le Bloc-note ( sans le mot Code ) :

dir %Windir%\tasks /a h > c:\filelopjob.txt

Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.

Enregistrer le fichier sur le Bureau sous le nom de findlopjob.bat

Attention: l'extension doit être .bat, choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."

Si l'extension est .bat.txt, renommer le fichier en .bat

Utilisation du fichier findlopjob.bat

Faire un double clic sur findlopjob.bat ( une petite fenêtre à fond noir va apparaître puis disparaître très rapidement ).

Résultat

Copie/Colle le contenu du fichier C:\filelopjob.txt dans ta prochaine réponse.

Cordialement.

kikidrif · le 9 novembre 2007

Bonjour wong,

Concernant Eorezo tout à était supprimé comme indiqué sur le site de Malékal.

Voici le rapport demandé:

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 1487-91A3

R‚pertoire de C:\WINDOWS\tasks

13/09/2007 16:12 <REP> .

13/09/2007 16:12 <REP> ..

09/11/2007 16:00 298 BE3F8EAA8CB40D02.job

24/08/2001 13:00 65 desktop.ini

07/11/2007 20:13 426 Maintenance en 1 clic.job

09/11/2007 15:45 6 SA.DAT

4 fichier(s) 795 octets

R‚pertoire de C:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau

wong · le 9 novembre 2007

Bonjour kikidrif,

Concernant Eorezo tout à était supprimé comme indiqué sur le site de Malékal.

Pas tout, il reste ça :

eoEngine 4.9

06/11/2007 12:42 <REP> eoRezo

NOTE : Etant donné la longueur de la procédure, je te conseille de l'imprimer ( ou de sélectionner toutes les lignes, puis de copier cette sélection dans un fichier texte sur ton PC ).

En mode sans échec tu n'auras pas accès à Internet. Il faut exécuter toutes les étapes sans interruption, dans l'ordre exact indiqué ci-dessous. Si tu ne comprends pas un élément, demande des explications avant de commencer la désinfection.

Cette procédure doit être effectuée en ayant ouvert ta session normale : ton nom "Administrateur" ( ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

1°) Suppression de CID

Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

Recherche CID ou CiDHelp si présent : Clique sur Supprimer pour le désinstaller ( une fenêtre va s'ouvrir avec un code. Tape ce code et clique sur UNINSTALL ).

2°) Vérifie d'avoir accès à tous les dossiers/fichiers :

Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage :

Coche le bouton devant : Afficher les fichiers et dossiers cachés
Décoche la case : Masquer les extensions des fichiers dont le type est connu
Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation
Clique sur : Appliquer à tous les dossiers.

3°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

Clique sur Démarrer
Clique sur Arrêter l'ordinateur
Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
Appui dur la touche " ENTRÉE "
Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
Clique sur ta session normale : ton nom (Administrateur )
Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

3.1 - Désinstallation

Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

Vérifie si Messenger Plus! est présent. Si oui : Clique sur Supprimer

Note: Tu pourras le réinstaller après désinfection, s'il t'est indispensable, mais à condition de ne pas installer le sponsor.

3.2 - Nettoyage avec HijackThis

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

3.3 - Suppressions manuelles :

Dans Poste de travail > Disque local C :

Supprime les fichiers/dossiers suivants s'ils sont présents :

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\FivePeakBoltHelp.exe <== ce fichier en rouge

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\ford shim.exe <== ce fichier en rouge

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\ONLINESETUPANTI.exe <== ce fichier en rouge

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags\xgsazhas.exe <== ce fichier en rouge

c:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Application Data\RoamClockBags <== ce dossier en rouge

c:\Documents and Settings\All Users.WINDOWS\Application Data\openbiasaxiselse\Team bits.exe <== ce fichier en rouge

c:\Documents and Settings\All Users.WINDOWS\Application Data\openbiasaxiselse <== ce dossier en rouge

C:\Program Files\Advert <== ce dossier en rouge

C:\Program Files\eoRezo <== ce dossier en rouge

3.4 - Vide le contenu de la corbeille :

3.5 - Masque les fichiers/dossiers cachés ou protégés

Décoche le bouton, et recoche les cases ( voir en 2° )

4°) Redémarre en mode normal

Lance HijackThis

Copie/Colle un nouveau rapport HijackThis dans ta réponse

Indique-moi si tu as toujours les fenêtres de pub.

Cordialement.

kikidrif · le 9 novembre 2007

Donc, après avoir fait tout ce que tu disais (j'ai récuperé le Pc) donc forcément un peu plus pratique je te colle le rapport.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:48:22, on 09/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RealVNC\WinVNC\winvnc.exe

C:\Program Files\ESET\nod32kui.exe

C:\Documents and Settings\Administrateur.XPSP2-DA73EB9D1\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VNC server for Win32] C:\Program Files\RealVNC\WinVNC\winvnc.exe

O4 - HKCU\..\Run: [NOD32 Control Center GUI] C:\Program Files\ESET\nod32kui.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SageTV - Frey Technologies, LLC - C:\Program Files\Frey Technologies\SageTV\SageTVService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 5659 bytes

wong · le 10 novembre 2007

Bonjour kikidrif,

Tu ne m'as pas répondu concernant le problème de piub ?

Supprime le fichier findlopjob.bat et le fichier C:\filelopjob.txt.

1°) Analyse de fichier :

Fais analyser ce fichier en ligne stp : C:\WINDOWS\system32\tscupgrd.exe

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre => parcours ton disque dur , et recherche le fichier tscupgrd.exe que tu trouveras en allant dans le dossier C:\WINDOWS\system32

Tu cliques une fois sur le fichier tscupgrd.exe ( il prend une couleur bleue ) puis tu cliques sur "[b}ouvrir[/b]" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter. Attends bien la fin du scan par tous les antivirus. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ta prochaine réponse.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité, patiente ( un message t'indique le temps que ce prendra pour faire analyser ).

et chez Jotti aussi : http://virusscan.jotti.org/

2°) Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

Enregistre-le sur ton bureau ( ou mieux dans un répertoire dédié : C:\ATF\ATF Cleaner.exe ).

3°) Télécharge AVG Anti-Spyware de ewido/grisoft sur ton bureau : http://www.ewido.net/en/download/

Lance le depuis l'icône presente sur ton bureau.
Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour DESACTIVER ces deux fonctions.
Clique sur mise à jour, commence la mise à jour.
Clique sur analyse puis sur paramètres.
Clique sur actions recommandées puis sur quarantaine.
Ferme le programme.

Tuto Malekal : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

4°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

5°) Nettoyage avec AVG Anti-Spyware

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

Double-clique ATF Cleaner.exe afin de lancer le programme.

Main correspond à IE
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Lance AVG Anti-Spyware

Clique sur scanner, puis sur scan complet du système.

Si des fichiers malveillants sont trouvés :

Clique sur Appliquer toutes les actions
Clique sur enregistrer le rapport d'analyse.
Colle le rapport dans ton prochain message

Pour t'aider tu as deux tutos à ta disposition:

ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html

J'attends les rapports d'analyses du fichier et le rapport AVG AS.

Cordialement.

kikidrif · le 10 novembre 2007

Oups mince désolé wong !

Donc oui tout remarche nickel sur son Pc je te remercie pour toute l'aide que tu m'as apporté, je l'ai prévenu des risques qu'il encouré avec certains logs et autre. Donc voilà cette fois je pense que le sujet est vraiment résolu. Encore merci wong !

A bientot

Ps: pour le fichier que tu m'as demandé d'analyser tout est ok

Modifié le 10 novembre 2007 par kikidrif

wong · le 10 novembre 2007

RE kikidrif,

Tu aurais pu faire le nettoyage.

Mais si tu trouves que tout est réglé, pas de problème ( c'est toi qui décide ).

Cordialement.

Connexion

Pas encore inscrit ?

[Résolu Par Wong] Rapport Hijack

Messages recommandés

kikidrif

wong

kikidrif

wong

kikidrif

wong

kikidrif

wong

kikidrif

wong

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer