Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[ Résolu] Aidez moi s'il vous plait

kadermou

Par kadermou
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut vous deux :P

 

Je n'ai pas compris ceci ? >

Avant de finir le processus de la page rouge le micro s'est redemarrer tut seul je fais comment?

Si tu as utilisé DiagHelp comme indiqué, est ce que tu veux bien regarder dans C:\ si tu trouves le rapport resultat.txt ? poste son contenu dans ton prochain message stp.

kadermou Member

kadermou

Posté(e)
  • Auteur
Posté(e)
salut vous deux :P

 

Je n'ai pas compris ceci ? >

 

Si tu as utilisé DiagHelp comme indiqué, est ce que tu veux bien regarder dans C:\ si tu trouves le rapport resultat.txt ? poste son contenu dans ton prochain message stp.

Salut Charles, oui comme tu le dis j'ai resultat ds le c

DiagHelp version v1.4 - http://www.malekal.com

excute le 11/11/2007 à 16:24:28,81

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->11/11/2007 16:24:21

C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->11/11/2007 16:23:47

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->11/11/2007 16:23:22

C:\WINDOWS\prefetch\ACROBATINFO.EXE-16C4625C.pf -->11/11/2007 16:19:26

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->11/11/2007 16:19:12

C:\WINDOWS\prefetch\WLSETUPSVC.EXE-0C7DC589.pf -->11/11/2007 16:15:39

C:\WINDOWS\prefetch\DASHBOARD.EXE-26A16038.pf -->11/11/2007 16:15:38

C:\WINDOWS\prefetch\MSIEXEC.EXE-330626DC.pf -->11/11/2007 16:15:28

C:\WINDOWS\prefetch\WLINSTALLER[1].EXE-047B5396.pf -->11/11/2007 16:15:24

C:\WINDOWS\prefetch\DW20.EXE-0A0B1C6C.pf -->11/11/2007 16:12:43

 

C:\WINDOWS\System32\drivers\PxHelp20.sys -->20/10/2007 01:56:10

C:\WINDOWS\System32\drivers\KProcCheck.sys -->02/09/2007 20:37:44

C:\WINDOWS\System32\drivers\sptd.sys -->21/07/2007 09:35:25

C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 11:32:54

C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 12:10:35

C:\WINDOWS\System32\drivers\wpdusb.sys -->18/10/2006 20:00:00

C:\WINDOWS\System32\drivers\WudfRd.sys -->28/09/2006 19:00:34

 

C:\WINDOWS\System32\zmzret.dat -->11/11/2007 16:23:47

C:\WINDOWS\System32\CONFIG.NT -->11/11/2007 15:36:55

C:\WINDOWS\System32\zmzret.exe -->08/11/2007 23:11:52

C:\WINDOWS\System32\KGyGaAvL.sys -->02/11/2007 13:36:19

C:\WINDOWS\System32\326F1EBA97.sys -->02/11/2007 13:36:19

C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfh009.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfc009.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 08:01:04

C:\WINDOWS\System32\dsm_fr.qm -->20/10/2007 01:56:22

C:\WINDOWS\System32\divxsm.tlb -->20/10/2007 01:56:22

C:\WINDOWS\System32\DivXsm.exe -->20/10/2007 01:56:22

C:\WINDOWS\System32\qt-dx331.dll -->20/10/2007 01:56:16

C:\WINDOWS\System32\pxwave.dll -->20/10/2007 01:56:12

C:\WINDOWS\System32\pxmas.dll -->20/10/2007 01:56:12

C:\WINDOWS\System32\pxhpinst.exe -->20/10/2007 01:56:12

C:\WINDOWS\System32\vxblock.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxsfs.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxinsi64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxinsa64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxdrv.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxcpyi64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxcpya64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxafs.dll -->20/10/2007 01:56:10

 

C:\WINDOWS\WindowsUpdate.log -->11/11/2007 16:15:44

C:\WINDOWS.log -->11/11/2007 16:01:19

C:\WINDOWS\wiadebug.log -->11/11/2007 16:01:10

C:\WINDOWS\wiaservc.log -->11/11/2007 16:01:08

C:\WINDOWS\bootstat.dat -->11/11/2007 16:00:28

C:\WINDOWS\SchedLgU.Txt -->11/11/2007 15:37:45

C:\WINDOWS\NeroDigital.ini -->11/11/2007 10:51:42

C:\WINDOWS\win.ini -->10/11/2007 14:47:13

C:\WINDOWS\msnfix.txt -->08/11/2007 15:36:05

C:\WINDOWS\setupapi.log -->08/11/2007 02:22:53

C:\WINDOWS\wmsetup.log -->07/11/2007 04:00:46

C:\WINDOWS\yesmessenger.ini -->05/11/2007 23:41:40

C:\WINDOWS\DPINST.LOG -->02/11/2007 15:30:18

C:\WINDOWS\KB933729.log -->16/10/2007 02:00:54

C:\WINDOWS\updspapi.log -->16/10/2007 02:00:53

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1292

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x13420000 0x1a000 11.00.5721.5145 C:\PROGRA~1\WINDOW~1\wmpband.dll

0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll

0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll

0x44a40000 0x371000 7.00.6000.16544 C:\WINDOWS\system32\mshtml.dll

0x01550000 0x29000 3.10.0349.0000 C:\WINDOWS\system32\msls31.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll

0x03ca0000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll

0x04fa0000 0x1b9000 2.00.0000.0007 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll

0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL

0x04f00000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 508

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\system

 

25/12/1998 17:15 345 983 RCDsetup.exe

1 fichier(s) 345 983 octets

0 Rép(s) 25 635 045 376 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 25 635 045 376 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

11/06/2007 14:53 <REP> .

11/06/2007 14:53 <REP> ..

11/05/2004 11:55 1 277 992 Banksht2.dll

02/11/2005 23:52 65 desktop.ini

04/07/2006 17:12 155 648 FileUploader.dll

04/07/2006 16:15 373 FileUploader.inf

18/07/2006 15:21 249 856 FontSmooth.dll

19/07/2006 07:13 543 FontSmooth.inf

13/04/2007 14:27 367 LegitCheckControl.inf

06/04/2004 19:03 172 072 MessengerStatsPAClient.dll

20/06/2006 14:44 379 704 MsnPUpld.dll

19/06/2006 13:40 393 MsnPUpld.inf

20/06/2006 14:44 117 560 PURen-us.dll

09/01/2007 07:30 110 592 PURfr-fr.dll

09/11/2006 14:36 5 019 swflash.inf

27/11/2006 16:03 151 080 ZIntro.ocx

14 fichier(s) 2 621 264 octets

 

Total des fichiers listés :

14 fichier(s) 2 621 264 octets

2 Rép(s) 25 635 041 280 octets libres

 

Recherche de rootkit! (Merci S!Ri)

infection possible Magic.Control : un scan F-Secure BlackLight est recommandé

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe:LocalSubNet:Enabled:Media Synchoronizer"

"C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe"="C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe:LocalSubNet:Enabled:eConsole"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe:LocalSubNet:Enabled:Acer Media Server"

"C:\\Program Files\\Acer TV-FM\\PowerCinema.exe"="C:\\Program Files\\Acer TV-FM\\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"

"C:\\Program Files\\Acer TV-FM\\PCMService.exe"="C:\\Program Files\\Acer TV-FM\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"

"C:\\Program Files\\Macromedia\\Fireworks MX\\Fireworks.exe"="C:\\Program Files\\Macromedia\\Fireworks MX\\Fireworks.exe:*:Enabled:Fireworks MX"

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Soulseek-Test\\slsk.exe"="C:\\Program Files\\Soulseek-Test\\slsk.exe:*:Enabled:SoulSeek"

"C:\\Program Files\\Piolet\\Piolet.exe"="C:\\Program Files\\Piolet\\Piolet.exe:*:Enabled:Piolet"

"C:\\Program Files\\WengoPhone\\qtwengophone.exe"="C:\\Program Files\\WengoPhone\\qtwengophone.exe:*:Enabled:WengoPhone"

"C:\\Program Files\\Globe7\\Globe7.exe"="C:\\Program Files\\Globe7\\Globe7.exe:*:Enabled:Globe7"

"D:\\Program Files\\BitComet\\BitComet.exe"="D:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"D:\\Program Files\\BitSpirit\\BitSpirit.exe"="D:\\Program Files\\BitSpirit\\BitSpirit.exe:*:Enabled:The powerful and easy-to-use BitTorrent Client"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe:*:Enabled:BearShare"

"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"C:\\WINDOWS\\system32\\EXPL0RER.exe"="C:\\WINDOWS\\system32\\EXPL0RER.exe:*:Enabled:Dnode"

"C:\\Program Files\\TvInternet\\TvInternet.exe"="C:\\Program Files\\TvInternet\\TvInternet.exe:*:Enabled:TvInternet"

"C:\\Program Files\\BitComet\\Downloads\\Internet TV Software\\viviplay.exe"="C:\\Program Files\\BitComet\\Downloads\\Internet TV Software\\viviplay.exe:*:Enabled:ViViMediaPlay"

"C:\\Program Files\\TVAnts\\Tvants.exe"="C:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"

"C:\\WINDOWS\\system32\\Cftmon.exe"="C:\\WINDOWS\\system32\\Cftmon.exe:*:Enabled:Cftmon"

"C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"="C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe:*:Disabled:CrazyTalk"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"

"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Disabled:pando"

"C:\\Program Files\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Namo\\WebEditor 6\\bin\\WebEditor.exe"="C:\\Program Files\\Namo\\WebEditor 6\\bin\\WebEditor.exe:*:Enabled:Namo WebEditor 6.0"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Ares\\Ares.exe"="C:\\Program Files\\Ares\\Ares.exe:*:Disabled:Ares"

"D:\\Program Files\\Azureus\\Azureus.exe"="D:\\Program Files\\Azureus\\Azureus.exe:*:Disabled:Azureus"

"C:\\Program Files\\eXeem Lite\\eXeem.exe"="C:\\Program Files\\eXeem Lite\\eXeem.exe:*:Disabled:eXeem"

"C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"="C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe:*:Disabled:iMesh"

"C:\\Program Files\\Maïdo Production\\IziSpot 4\\IziSpot.exe"="C:\\Program Files\\Maïdo Production\\IziSpot 4\\IziSpot.exe:*:Disabled:IziSpot"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Disabled:Kaspersky Anti-Virus"

"D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"

"C:\\Program Files\\lphant\\eLePhantClient.exe"="C:\\Program Files\\lphant\\eLePhantClient.exe:*:Disabled:lphant Client"

"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Disabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Disabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"DisableTaskMgr"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-11 16:26:37

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:d3,74,71,9c,50,39,6e,65,44,79,fd,ed,d4,3e,d7,21,95,fd,24,0d,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:d3,74,71,9c,50,39,6e,65,44,79,fd,ed,d4,3e,d7,21,95,fd,24,0d,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:d3,74,71,9c,50,39,6e,65,44,79,fd,ed,d4,3e,d7,21,95,fd,24,0d,6e,..

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"zmzret"="c:\windows\system32\zmzret.exe zmzret"

 

scanning hidden files ...

 

C:\WINDOWS\system32\zmzret.dat 4887 bytes

C:\WINDOWS\system32\zmzret.exe 283136 bytes executable

C:\WINDOWS\system32\zmzret_nav.dat 317394 bytes

C:\WINDOWS\system32\zmzret_navps.dat 1363 bytes

 

scan completed successfully

hidden services: 0

hidden files: 4

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Le rapport n'est pas complêt: as tu bien posté l'intégralité ?

La partie que tu as posté montre une infection par Magic Control Agent (qui affiche des pubs intempestives lors de tes surfs) >

 

1) Télécharge navilog1 de IL-MAFIOSO

  • Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  • Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  • Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  • Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

 

2) Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

  • Il faut choisir Full Scan (et pas QuickScan) > bhlg5aym1p.gif
  • Poste le rapport qu'il t'affichera à la fin.
  • Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport.
  • Pour cela, clique sur le bouton "Pause" avant de commencer le scan > avastimage5wi.jpg
     
  • Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
     
  • Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .
  • Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

3) Relance DiagHelp et poste le nouveau rapport stp.

 

 

Au vu des applications qui accèdent à internet (bearshare/bitcomet etc...), je te conseille chaudement de lire ceci >

Fais gaffe avec l'utilisation des logiciels P2P/ cracks/ keygens !! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

 

@++

Modifié par charles ingals
kadermou Member

kadermou

Posté(e)
  • Auteur
Posté(e)
re!

 

Le rapport n'est pas complêt: as tu bien posté l'intégralité ?

La partie que tu as posté montre une infection par Magic Control Agent (qui affiche des pubs intempestives lors de tes surfs) >

 

1) Télécharge navilog1 de IL-MAFIOSO

  • Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  • Patiente jusqu'au message :
     
  • Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  • Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  • Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

 

2) Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

  • Il faut choisir Full Scan (et pas QuickScan) > bhlg5aym1p.gif
  • Poste le rapport qu'il t'affichera à la fin.
  • Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport.
  • Pour cela, clique sur le bouton "Pause" avant de commencer le scan > avastimage5wi.jpg
     
  • Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
     
  • Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .
  • Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

3) Relance DiagHelp et poste le nouveau rapport stp.

 

 

Au vu des applications qui accèdent à internet (bearshare/bitcomet etc...), je te conseille chaudement de lire ceci >

Fais gaffe avec l'utilisation des logiciels P2P/ cracks/ keygens !! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

 

@++

Salut Charles, j'ai fais a premiere etape et voici le rapport

Search Navipromo version 3.3.5 commencé le 11/11/2007 à 18:24:50,56

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 08.11.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Abdoulkader\Application Data ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\WINDOWS\system32\zmzret.dat

C:\WINDOWS\system32\zmzret.exe

C:\WINDOWS\system32\zmzret_nav.dat

C:\WINDOWS\system32\zmzret_navps.dat

 

Processus caché(s) :

 

C:\WINDOWS\system32\zmzret.exe

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans C:\DOCUME~1\ABDOUL~1\LOCALS~1\APPLIC~1 *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

2)Recherche Heuristique :

 

C:\WINDOWS\system32\nnuedkkrba.dat trouvé !

C:\WINDOWS\system32\zmzret.dat trouvé !

C:\WINDOWS\system32\nnuedkkrba_nav.dat trouvé !

C:\WINDOWS\system32\zmzret_nav.dat trouvé !

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse terminée le 11/11/2007 à 18:26:11,35 ***

 

 

Pour la deuxieme Panda s'arrete à chaque fois qu'ildetecte un virus je crois et ne veut plus continuer meme si je delete ca m'affiche :

Sorry, loading is incomplete due to an error. Please try again. Error -20.

Que dois je fair alors

Merci

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Ok continue comme ceci >

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

  • Au menu principal, choisis 2 et valide.
  • Le fix va t'informer qu'il va alors redémarrer ton PC
  • Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  • Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  • Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
  • Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  • Referme le bloc note. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

 

2) Essaie ce scan en ligne stp >

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

  • Fais un scan en ligne Kaspersky
  • Clique sur Accept
  • Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  • clique une nouvelle fois sur "Accept"
  • Les bases de mises à jour vont s'installer, patiente un moment
  • Clique sur Next.
  • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

3) Poste un ouveau rapport DiagHelp stp mais en entier.

 

 

Salut zonk :P le nanoscan ne désinfecte pas dans sa version limitée (il faut s'enregistrer sinon) >

Effective online disinfection of all malicious software on your PC (*only Pro version).

ceci dit c'est suffisant pour détecter des éléments qui auront échappé aux différents tools durant la procédure.

kadermou Member

kadermou

Posté(e)
  • Auteur
Posté(e)
re!

 

Ok continue comme ceci >

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

  • Au menu principal, choisis 2 et valide.
  • Le fix va t'informer qu'il va alors redémarrer ton PC
  • Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  • Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  • Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :
     
  • Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  • Referme le bloc note. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

 

2) Essaie ce scan en ligne stp >

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

  • Fais un scan en ligne Kaspersky
  • Clique sur Accept
  • Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  • clique une nouvelle fois sur "Accept"
  • Les bases de mises à jour vont s'installer, patiente un moment
  • Clique sur Next.
  • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

3) Poste un ouveau rapport DiagHelp stp mais en entier.

Salut zonk :P le nanoscan ne désinfecte pas dans sa version limitée (il faut s'enregistrer sinon) >

 

ceci dit c'est suffisant pour détecter des éléments qui auront échappé aux différents tools durant la procédure.

 

Ré Charles , j'ai suivi tes instructions et la j'attends le scann de Kasperesky pour t'envoyer les 3 rapports (Kasp...,Clean....,et dial) .

Entre temps j'ai installé Antivir suite à la page de forum sur le quel t'es intervenu avec Adrien et du coup j'ai viré Nod et Avast.

Merci bcp pr tes precieux conseils

@++

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

Entre temps j'ai installé Antivir

J'allais te le conseiller à la fin seulement parce qu'Antivir et Navilog ne font pas bon ménage...!

Si un problème est survenu lors de l'utilisation de Navilog option 2, il faudra qu'on fasse autrement.

Note: ne t'étonne pas si tu reçois une alerte d'Antivir donc, lors de l'utilisation de navilog (réaction non justifiée!).

 

@+ tard :P

kadermou Member

kadermou

Posté(e)
  • Auteur
Posté(e)
re!

 

J'allais te le conseiller à la fin seulement parce qu'Antivir et Navilog ne font pas bon ménage...!

Si un problème est survenu lors de l'utilisation de Navilog option 2, il faudra qu'on fasse autrement.

Note: ne t'étonne pas si tu reçois une alerte d'Antivir donc, lors de l'utilisation de navilog (réaction non justifiée!).

 

@+ tard :P

Bonjour Charles

Je suis de retour apres un scan de 3 heures :P

voici les differents rapports

d'abord cleannavi :

Clean Navipromo version 3.3.5 commencé le 11/11/2007 à 19:57:29,70

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 08.11.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

Mode suppression automatique

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\WINDOWS\system32\zmzret.dat réalisé avec succès !

Copie C:\WINDOWS\system32\zmzret.exe réalisé avec succès !

Copie C:\WINDOWS\system32\zmzret_nav.dat réalisé avec succès !

Copie C:\WINDOWS\system32\zmzret_navps.dat réalisé avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

C:\WINDOWS\system32\zmzret.dat supprimé !

C:\WINDOWS\system32\zmzret.exe supprimé !

C:\WINDOWS\system32\zmzret_nav.dat supprimé !

C:\WINDOWS\system32\zmzret_navps.dat supprimé !

 

** 2ème passage avec résultats Catchme **

 

C:\WINDOWS\prefetch\zmzret*.pf trouvé !

Copie C:\WINDOWS\prefetch\zmzret*.pf réalisé avec succès !

C:\WINDOWS\prefetch\zmzret*.pf supprimé !

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans C:\DOCUME~1\ABDOUL~1\LOCALS~1\APPLIC~1 *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Abdoulkader\Application Data ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Abdoulkader\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

C:\WINDOWS\System32\nnuedkkrba.dat trouvé !

Copie C:\WINDOWS\system32\nnuedkkrba.dat réalisé avec succès !

C:\WINDOWS\system32\nnuedkkrba.dat supprimé !

 

C:\WINDOWS\System32\nnuedkkrba_nav.dat trouvé !

Copie C:\WINDOWS\system32\nnuedkkrba_nav.dat réalisé avec succès !

C:\WINDOWS\system32\nnuedkkrba_nav.dat supprimé !

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisé avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 11/11/2007 à 20:06:15,40 ***

 

 

 

 

 

Ensuite "Rapport Kasperesky":

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Monday, November 12, 2007 12:07:20 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 11/11/2007

Kaspersky Anti-Virus database records: 456450

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Scan Statistics:

Total number of scanned objects: 109953

Number of viruses found: 2

Number of infected objects: 4

Number of suspicious objects: 0

Duration of the scan process: 03:19:15

 

Infected Object Name / Virus Name / Last Action

C:\Documents and Settings\Abdoulkader\Bureau\Navilog1.exe/file7 Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

C:\Documents and Settings\Abdoulkader\Bureau\Navilog1.exe Inno: infected - 1 skipped

C:\Documents and Settings\Abdoulkader\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\ApplicationHistory\Acer.Empowering.Framework.Launcher.exe.7c55249b.ini.inuse Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\Working\database_6000_4976_320D_180E\dfsr.db Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\Working\database_6000_4976_320D_180E\fsr.log Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\Working\database_6000_4976_320D_180E\fsrtmp.log Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Messenger\abdoul_td@hotmail.fr\SharingMetadata\Working\database_6000_4976_320D_180E\tmp.edb Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Windows Live Contacts\abdoul_td@hotmail.fr\real\members.stg Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Application Data\Microsoft\Windows Live Contacts\abdoul_td@hotmail.fr\shadow\members.stg Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Historique\History.IE5\MSHist012007111120071112\index.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temp\~DF3EE7.tmp Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temp\~DF3EF3.tmp Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temp\~DFCA82.tmp Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temp\~DFCB25.tmp Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temp\~DFFCCD.tmp Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Abdoulkader\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Abdoulkader\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Acer\Acer eConsole\AcerDB.ldb Object is locked skipped

C:\Program Files\Acer\Acer eConsole\AcerDB.mdb Object is locked skipped

C:\Program Files\Acer TV-FM\Kernel\CLML_NTService\CLML_MAIN\CLML.db Object is locked skipped

C:\Program Files\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\tracking.log Object is locked skipped

C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP173\A0077711.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{AD58BC60-4804-4EBF-BD38-F35906CD2025}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\temp\CLML_AGENT_LOG1.txt Object is locked skipped

C:\WINDOWS\temp\JET1B14.tmp Object is locked skipped

C:\WINDOWS\temp\Perflib_Perfdata_ec.dat Object is locked skipped

C:\WINDOWS\temp\sqlite_PoYEMwLJzwxTBcM Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

 

Scan process completed.

 

 

et enfin Resultat :

DiagHelp version v1.4 - http://www.malekal.com

excute le 12/11/2007 à 0:08:48,07

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->12/11/2007 00:08:44

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->12/11/2007 00:08:38

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->12/11/2007 00:08:06

C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->11/11/2007 23:43:21

C:\WINDOWS\prefetch\SYSTRA~1.EXE-24590E03.pf -->11/11/2007 23:08:21

C:\WINDOWS\prefetch\WINWORD.EXE-33AEA629.pf -->11/11/2007 23:08:00

C:\WINDOWS\prefetch\REALPLAY.EXE-05411014.pf -->11/11/2007 22:42:03

C:\WINDOWS\prefetch\SCREAMER.EXE-184CB942.pf -->11/11/2007 22:05:22

C:\WINDOWS\prefetch\IEXPLORE.EXE-2D97EBE6.pf -->11/11/2007 20:23:28

C:\WINDOWS\prefetch\USNSVC.EXE-05B86444.pf -->11/11/2007 20:09:58

 

C:\WINDOWS\System32\drivers\PxHelp20.sys -->20/10/2007 01:56:10

C:\WINDOWS\System32\drivers\avipbb.sys -->07/09/2007 12:05:19

C:\WINDOWS\System32\drivers\KProcCheck.sys -->02/09/2007 20:37:44

C:\WINDOWS\System32\drivers\avgntdd.sys -->09/08/2007 13:04:11

C:\WINDOWS\System32\drivers\sptd.sys -->21/07/2007 09:35:25

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:19

C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 11:32:54

 

C:\WINDOWS\System32\CONFIG.NT -->11/11/2007 15:36:55

C:\WINDOWS\System32\KGyGaAvL.sys -->02/11/2007 13:36:19

C:\WINDOWS\System32\326F1EBA97.sys -->02/11/2007 13:36:19

C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfh009.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\perfc009.dat -->28/10/2007 08:01:05

C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 08:01:04

C:\WINDOWS\System32\dsm_fr.qm -->20/10/2007 01:56:22

C:\WINDOWS\System32\divxsm.tlb -->20/10/2007 01:56:22

C:\WINDOWS\System32\DivXsm.exe -->20/10/2007 01:56:22

C:\WINDOWS\System32\qt-dx331.dll -->20/10/2007 01:56:16

C:\WINDOWS\System32\pxwave.dll -->20/10/2007 01:56:12

C:\WINDOWS\System32\pxmas.dll -->20/10/2007 01:56:12

C:\WINDOWS\System32\pxhpinst.exe -->20/10/2007 01:56:12

C:\WINDOWS\System32\vxblock.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxsfs.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxinsi64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxinsa64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxdrv.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxcpyi64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxcpya64.exe -->20/10/2007 01:56:10

C:\WINDOWS\System32\pxafs.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\px.dll -->20/10/2007 01:56:10

C:\WINDOWS\System32\ssldivx.dll -->20/10/2007 01:56:04

 

C:\WINDOWS\WindowsUpdate.log -->11/11/2007 23:44:16

C:\WINDOWS\setupapi.log -->11/11/2007 20:31:55

C:\WINDOWS.log -->11/11/2007 20:03:20

C:\WINDOWS\wiadebug.log -->11/11/2007 20:03:07

C:\WINDOWS\wiaservc.log -->11/11/2007 20:03:05

C:\WINDOWS\bootstat.dat -->11/11/2007 20:01:49

C:\WINDOWS\SchedLgU.Txt -->11/11/2007 20:01:02

C:\WINDOWS\DirectX.log -->11/11/2007 17:23:42

C:\WINDOWS\WIC.log -->11/11/2007 17:20:27

C:\WINDOWS\tsoc.log -->11/11/2007 17:20:27

C:\WINDOWS\ocmsn.log -->11/11/2007 17:20:27

C:\WINDOWS\ntdtcsetup.log -->11/11/2007 17:20:27

C:\WINDOWS\imsins.log -->11/11/2007 17:20:27

C:\WINDOWS\iis6.log -->11/11/2007 17:20:27

C:\WINDOWS\comsetup.log -->11/11/2007 17:20:27

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1288

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll

0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll

0x13420000 0x1a000 11.00.5721.5145 C:\PROGRA~1\WINDOW~1\wmpband.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44a40000 0x371000 7.00.6000.16544 C:\WINDOWS\system32\mshtml.dll

0x014d0000 0x29000 3.10.0349.0000 C:\WINDOWS\system32\msls31.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x10000000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll

0x05160000 0x1b9000 2.00.0000.0007 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll

0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL

0x05430000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x039e0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 508

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\system

 

25/12/1998 17:15 345 983 RCDsetup.exe

1 fichier(s) 345 983 octets

0 Rép(s) 26 350 985 216 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 26 350 985 216 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 320D-180E

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

11/11/2007 20:31 <REP> .

11/11/2007 20:31 <REP> ..

21/08/2007 14:37 124 208 ascstubie.dll

21/08/2007 14:25 395 ascstubie.inf

11/05/2004 11:55 1 277 992 Banksht2.dll

02/11/2005 23:52 65 desktop.ini

04/07/2006 17:12 155 648 FileUploader.dll

04/07/2006 16:15 373 FileUploader.inf

18/07/2006 15:21 249 856 FontSmooth.dll

19/07/2006 07:13 543 FontSmooth.inf

07/01/2007 12:55 2 305 kavwebscan.inf

13/04/2007 14:27 367 LegitCheckControl.inf

18/07/2007 14:49 12 592 libcomm.dll

06/04/2004 19:03 172 072 MessengerStatsPAClient.dll

20/06/2006 14:44 379 704 MsnPUpld.dll

19/06/2006 13:40 393 MsnPUpld.inf

20/06/2006 14:44 117 560 PURen-us.dll

09/01/2007 07:30 110 592 PURfr-fr.dll

09/11/2006 14:36 5 019 swflash.inf

27/11/2006 16:03 151 080 ZIntro.ocx

18 fichier(s) 2 760 764 octets

 

Total des fichiers listés :

18 fichier(s) 2 760 764 octets

2 Rép(s) 26 350 981 120 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe:LocalSubNet:Enabled:Media Synchoronizer"

"C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe"="C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe:LocalSubNet:Enabled:eConsole"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe:LocalSubNet:Enabled:Acer Media Server"

"C:\\Program Files\\Acer TV-FM\\PowerCinema.exe"="C:\\Program Files\\Acer TV-FM\\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"

"C:\\Program Files\\Acer TV-FM\\PCMService.exe"="C:\\Program Files\\Acer TV-FM\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"

"C:\\Program Files\\Macromedia\\Fireworks MX\\Fireworks.exe"="C:\\Program Files\\Macromedia\\Fireworks MX\\Fireworks.exe:*:Enabled:Fireworks MX"

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Soulseek-Test\\slsk.exe"="C:\\Program Files\\Soulseek-Test\\slsk.exe:*:Enabled:SoulSeek"

"C:\\Program Files\\Piolet\\Piolet.exe"="C:\\Program Files\\Piolet\\Piolet.exe:*:Enabled:Piolet"

"C:\\Program Files\\WengoPhone\\qtwengophone.exe"="C:\\Program Files\\WengoPhone\\qtwengophone.exe:*:Enabled:WengoPhone"

"C:\\Program Files\\Globe7\\Globe7.exe"="C:\\Program Files\\Globe7\\Globe7.exe:*:Enabled:Globe7"

"D:\\Program Files\\BitComet\\BitComet.exe"="D:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"D:\\Program Files\\BitSpirit\\BitSpirit.exe"="D:\\Program Files\\BitSpirit\\BitSpirit.exe:*:Enabled:The powerful and easy-to-use BitTorrent Client"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe:*:Enabled:BearShare"

"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"C:\\WINDOWS\\system32\\EXPL0RER.exe"="C:\\WINDOWS\\system32\\EXPL0RER.exe:*:Enabled:Dnode"

"C:\\Program Files\\TvInternet\\TvInternet.exe"="C:\\Program Files\\TvInternet\\TvInternet.exe:*:Enabled:TvInternet"

"C:\\Program Files\\BitComet\\Downloads\\Internet TV Software\\viviplay.exe"="C:\\Program Files\\BitComet\\Downloads\\Internet TV Software\\viviplay.exe:*:Enabled:ViViMediaPlay"

"C:\\Program Files\\TVAnts\\Tvants.exe"="C:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"

"C:\\WINDOWS\\system32\\Cftmon.exe"="C:\\WINDOWS\\system32\\Cftmon.exe:*:Enabled:Cftmon"

"C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"="C:\\Program Files\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe:*:Disabled:CrazyTalk"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"

"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Disabled:pando"

"C:\\Program Files\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Namo\\WebEditor 6\\bin\\WebEditor.exe"="C:\\Program Files\\Namo\\WebEditor 6\\bin\\WebEditor.exe:*:Enabled:Namo WebEditor 6.0"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Ares\\Ares.exe"="C:\\Program Files\\Ares\\Ares.exe:*:Disabled:Ares"

"D:\\Program Files\\Azureus\\Azureus.exe"="D:\\Program Files\\Azureus\\Azureus.exe:*:Disabled:Azureus"

"C:\\Program Files\\eXeem Lite\\eXeem.exe"="C:\\Program Files\\eXeem Lite\\eXeem.exe:*:Disabled:eXeem"

"C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"="C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe:*:Disabled:iMesh"

"C:\\Program Files\\Maïdo Production\\IziSpot 4\\IziSpot.exe"="C:\\Program Files\\Maïdo Production\\IziSpot 4\\IziSpot.exe:*:Disabled:IziSpot"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Disabled:Kaspersky Anti-Virus"

"D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"

"C:\\Program Files\\lphant\\eLePhantClient.exe"="C:\\Program Files\\lphant\\eLePhantClient.exe:*:Disabled:lphant Client"

"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"DisableTaskMgr"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-12 00:09:59

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:d3,74,71,9c,50,39,6e,65,44,79,fd,ed,d4,3e,d7,21,95,fd,24,0d,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:d3,74,71,9c,50,39,6e,65,44,79,fd,ed,d4,3e,d7,21,95,fd,24,0d,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fb,75,bb,ab,b5,74,5d,5e,ce,dc,32,df,3e,62,79,7e,03,a4,40,a1,21,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,31,e8,50,5f,7e,bc,34,4a,11,e9,36,41,6f,92,9e,6d,97,..

"khjeh"=hex:0c,36,6a,aa,c8,c6,19,33,25,10,c2,01,b3,35,57,3e,99,54,99,05,54,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:5a,34,90,a2,c8,e2,d2,40,90,4b,ba,57,8a,2a,05,e4,bd,73,37,a3,72,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Error loading kernel support driver!

Make sure you are running this as Administrator.

 

 

Merci @ +++

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Ok pour le scan Kaspersky qui n'a rien trouvé de mauvais: tu peux passer par le Panneau de configuration (Ajouter/Supprimer des Programmes) et désinstaller > navilog 3.3.5

 

Fais analyser ces deux fichiers en ligne stp >

 

C:\WINDOWS\System32\KGyGaAvL.sys

C:\WINDOWS\System32\326F1EBA97.sys

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier 326F1EBA97.sys que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier 326F1EBA97.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

Fais de même pour l'autre.

 

Il est possible que ces fichier soient cachés et que tu ne les voies pas : si c'est le cas, fais au préalable >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

@++

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...