[Résolu] TR/Agent.37376 /efcbywv.dll

[angelique]

J'ai relancé Icesword et dans l'edit string il y a en valeure : C:\WINDOWS\system32\__c0034625.dat

 

j'm'en doutais !!!

 

Je sais pas comment tu as choper ça , mais c'est du béton pffff!!!!

 

Je sais pas trop comment on va s'en dépatouiller ^^ mais.......

 

--------------------------------------

 

1/lance HJT "do a system scan only" et coche puis clic fixchecked:

 

O4 - HKLM\..\Run: [54f17b79] rundll32.exe "C:\WINDOWS\system32\dnokqunl.dll",b

 

2/Télécharge Combofix sUBs : combofix.exe

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

et sauvegarde le sur ton bureau et pas ailleurs!

 

puis clic sur OK.

 

Il va te poser une question, réponds par la touche 1 et entrée pour valider.

Attends que combofix ait terminé,NE TOUCHE A RIEN PENDANT QU'IL BOSSE!!, un rapport sera créé. Poste le rapport.

[Miaw]

J'avous c'est un violent cui la >_<

 

ComboFix 07-11-19.4C - Patrick 2007-11-28 22:54:02.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1639 [GMT 1:00]

Running from: C:\Documents and Settings\Patrick\Bureau\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk

C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk

C:\Documents and Settings\Patrick\Application Data.\Ultimate Cleaner

C:\Documents and Settings\Patrick\Application Data.\Ultimate Cleaner\settings.dat

C:\Documents and Settings\Patrick\Application Data\Ultimate Cleaner\settings.dat

C:\Documents and Settings\Patrick\Favoris\Online Security Guide.lnk

C:\Program Files\BestsellerAntivirus

C:\Program Files\BestsellerAntivirus\Activate.exe

C:\Program Files\BestsellerAntivirus\unins000.dat

C:\Program Files\BestsellerAntivirus\unins000.exe

C:\Program Files\Fichiers communs\BestsellerAntivirus

C:\Program Files\Fichiers communs\BestsellerAntivirus\ugcw.exe

C:\Program Files\ucleaner_setup.exe

C:\WINDOWS\system32\bxgbwdbh.exe

C:\WINDOWS\system32\ddeeg.ini

C:\WINDOWS\system32\ddeeg.ini2

C:\WINDOWS\system32\geedd.dll

C:\WINDOWS\system32\gsbhjabf.exe

C:\WINDOWS\system32\mwketost.dll

C:\WINDOWS\system32\xjeeddef.dll

C:\WINDOWS\system32\zjuaaysc.dllbox

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_DOMAINSERVICE

-------\DomainService

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-28 to 2007-11-28 ))))))))))))))))))))))))))))))))))))

.

 

2007-11-28 17:46 789,349 ---hs---- C:\WINDOWS\system32\lnuqkond.ini

2007-11-28 17:45 85,056 --a------ C:\WINDOWS\system32\dnokqunl.dll

2007-11-28 17:42 81,984 --a------ C:\WINDOWS\system32\yobtdxkp.dll

2007-11-28 17:36 10,816 --a------ C:\WINDOWS\system32\__c0034625.VIR

2007-11-28 17:33 145,984 --a------ C:\WINDOWS\system32\axassntb.dll

2007-11-27 21:35 <REP> d-------- C:\Program Files\Avira

2007-11-27 17:27 71,232 --a------ C:\WINDOWS\system32\ljuwqkql.exe

2007-11-26 08:40 80,960 --a------ C:\WINDOWS\system32\gueikedq.dll

2007-11-26 08:37 784,486 ---hs---- C:\WINDOWS\system32\osodvrbt.ini

2007-11-25 15:30 89,088 --a------ C:\WINDOWS\system32\atl71.dll

2007-11-25 15:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll

2007-11-25 10:05 150,576 --a------ C:\Documents and Settings\Patrick\Application Data\spyguard.exe

2007-11-24 19:45 775,952 ---hs---- C:\WINDOWS\system32\dklodjdg.ini

2007-11-23 17:59 <REP> d-------- C:\Program Files\MalwareAlarm

2007-11-23 15:50 <REP> d-------- C:\WINDOWS\ERUNT

2007-11-23 15:28 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Grisoft

2007-11-23 15:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-23 15:28 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2007-11-23 14:45 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-11-23 14:44 2,004 --a------ C:\WINDOWS\system32\drivers\fwdrv.err

2007-11-23 14:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-23 14:09 22,528 --a------ C:\rtfjiqam.exe

2007-11-18 12:17 <REP> d-------- C:\Program Files\Ahead

2007-11-18 11:10 <REP> d-------- C:\WINDOWS\system32\AGEIA

2007-11-18 11:10 <REP> d-------- C:\Program Files\AGEIA Technologies

2007-11-18 10:45 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-11-18 10:40 <REP> d-------- C:\Program Files\Sony

2007-11-18 10:40 <REP> d-------- C:\Program Files\Flying Lab Software

2007-11-17 03:30 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys

2007-11-17 03:30 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys

2007-11-17 03:29 <REP> d-------- C:\Program Files\WMV9_VCM

2007-11-17 03:29 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Anuman Interactive

2007-11-17 03:23 <REP> d-------- C:\Program Files\Anuman Interactive

2007-11-10 02:13 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Electronic Arts

2007-11-10 00:08 <REP> d-------- C:\Dark Age of Camelot - Darkness Rising

2007-11-09 21:04 <REP> d-------- C:\Documents and Settings\Patrick\Contacts

2007-11-09 21:01 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-11-09 21:00 <REP> d-------- C:\Program Files\Windows Live

2007-11-09 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-01 18:12 <REP> d-------- C:\Program Files\Electronic Arts

2007-10-30 00:02 <REP> d--h----- C:\WINDOWS\PIF

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-28 16:30 71,232 ----a-w C:\WINDOWS\system32\xhogbotf.exe

2007-11-27 16:33 85,056 ----a-w C:\WINDOWS\system32\yihiqdwp.dll

2007-11-27 16:33 145,984 ----a-w C:\WINDOWS\system32\ynpnbsut.dll

2007-11-27 05:23 --------- d-----w C:\Documents and Settings\Patrick\Application Data\Azureus

2007-11-26 07:31 71,232 ----a-w C:\WINDOWS\system32\xvjwusjc.exe

2007-11-23 16:58 34,304 ----a-w C:\WINDOWS\system32\xxyxvvt.dll

2007-11-18 10:05 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-11-14 15:58 --------- d-----w C:\Program Files\World of Warcraft

2007-11-06 02:04 --------- d-----w C:\Program Files\DivX

2007-11-05 19:48 --------- d-----w C:\Documents and Settings\Patrick\Application Data\teamspeak2

2007-11-04 18:10 --------- d-----w C:\Program Files\Java

2007-10-23 21:55 --------- d-----w C:\Program Files\Flagship Studios

2007-10-21 10:13 --------- d-----w C:\Documents and Settings\Patrick\Application Data\MSNInstaller

2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll

2007-10-04 21:38 --------- d-----w C:\Program Files\Azureus

2007-10-04 20:31 --------- d-----w C:\Program Files\DAEMON Tools

2007-10-04 20:30 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys

2007-10-01 18:41 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment

2007-09-30 06:21 --------- d-----w C:\Program Files\QuickTime

2007-09-30 06:20 --------- d-----w C:\Program Files\Xilisoft

2007-09-29 18:06 --------- d-----w C:\Program Files\WinAVI MP4 Converter

2007-09-11 15:20 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11e4dc2f-3a56-490b-bef5-11726bb28d0e}]

2007-11-28 17:42 81984 --a------ C:\WINDOWS\system32\yobtdxkp.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}]

C:\WINDOWS\system32\efcbywv.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 12:24]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 12:44 C:\WINDOWS\RTHDCPL.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 C:\WINDOWS\SkyTel.exe]

"Launch LGDCore"="C:\Program Files\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31]

"Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" []

"NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 16:35]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-27 21:36]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00]

 

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{ED203331-9C33-49D8-8714-D24A366A04EC}"= C:\WINDOWS\system32\efcbywv.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zjuaaysc]

zjuaaysc.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geedd.dll

 

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys

 

.**************************************************************************

 

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-28 23:00:26

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-11-28 23:01:39 - machine was rebooted

.

--- E O F ---

----------------------------------------------------------------------------------------------------------

Edit : je post un rapport hijack tant que j'y suis apres le combofix :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:22:12, on 28/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Logitech\G-series Software\LGDCore.exe

C:\Program Files\Logitech\G-series Software\LCDMon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Patrick\Bureau\infection\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: {e0d82bb6-2711-5feb-b094-65a3f2cd4e11} - {11e4dc2f-3a56-490b-bef5-11726bb28d0e} - C:\WINDOWS\system32\yobtdxkp.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\efcbywv.dll (file missing)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1189434816031

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: zjuaaysc - zjuaaysc.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Modifié le 28 novembre 2007 par Miaw

[Thanos]

salut Miaw, angélique

 

Heu...oui, un revenant Désolé de t'avoir lamentablement abandonné Miaw !!

Heureusement qu'angelique était là (elle a fait tout le boulot!) Voici la suite >

1) Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivants si tu trouves >

The SpyGuard

MalwareAlarm

 

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/krd6ez

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

3) Rend toi sur cette page afin de télécharger le fichier rem.reg > http://www.sendspace.com/file/x520nz

pour cela, clique sur le lien en bas de page > Download Link: rem.reg

 

Télécharge le sur le bureau et double clique sur ce fichier > un message va s'afficher te demandant d'accepter la fusion avec le registre: accepte.

 

Poste le rapport de ComboFix + fais un scan avec Hijackthis et poste son rapport.

 

Miaw, avant d'installer quelque logiciel antispyware que ce soit, à l'avenir, n'hésite pas à consulter cette page au préalable > http://assiste.com.free.fr/p/craptheque/craptheque.html

Elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables.

 

@+

[Miaw]

Bonsoir Charles et Angélique

Abandonné est un peu fort ^^ vu le nombre de post a traiter tu ne peut t'occuper de tout a la fois donc rien de grave la desus .

Et puis angélique m'a sorti pas mal de "trucs" et j'ai pu retrouver la dispo du pc qui n'avait meme plus le son et le paneau de config ^^.

 

Concernant le reste, voici les rapports :

 

ComboFix 07-11-19.4C - Patrick 2007-11-29 18:26:11.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1628 [GMT 1:00]

Running from: C:\Documents and Settings\Patrick\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Patrick\Bureau\CFScript.txt

* Created a new restore point

FILE

C:\Documents and Settings\Patrick\Application Data\spyguard.exe

C:\rtfjiqam.exe

C:\WINDOWS\system32\__c0034625.VIR

C:\WINDOWS\system32\axassntb.dll

C:\WINDOWS\system32\dklodjdg.ini

C:\WINDOWS\system32\dnokqunl.dll

C:\WINDOWS\system32\efcbywv.dll

C:\WINDOWS\system32\gueikedq.dll

C:\WINDOWS\system32\ljuwqkql.exe

C:\WINDOWS\system32\lnuqkond.ini

C:\WINDOWS\system32\osodvrbt.ini

C:\WINDOWS\system32\xhogbotf.exe

C:\WINDOWS\system32\xvjwusjc.exe

C:\WINDOWS\system32\xxyxvvt.dll

C:\WINDOWS\system32\yihiqdwp.dll

C:\WINDOWS\system32\ynpnbsut.dll

C:\WINDOWS\system32\yobtdxkp.dll

C:\WINDOWS\system32\zjuaaysc.dll

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Patrick\Application Data\spyguard.exe

C:\Program Files\MalwareAlarm

C:\Program Files\MalwareAlarm\MalwareAlarm.exe

C:\Program Files\MalwareAlarm\MalwareAlarm.lic

C:\Program Files\MalwareAlarm\MalwareAlarm1.ma

C:\Program Files\MalwareAlarm\Uninstall.exe

C:\rtfjiqam.exe

C:\WINDOWS\system32\__c0034625.VIR

C:\WINDOWS\system32\axassntb.dll

C:\WINDOWS\system32\dklodjdg.ini

C:\WINDOWS\system32\dnokqunl.dll

C:\WINDOWS\system32\gueikedq.dll

C:\WINDOWS\system32\ljuwqkql.exe

C:\WINDOWS\system32\lnuqkond.ini

C:\WINDOWS\system32\osodvrbt.ini

C:\WINDOWS\system32\xhogbotf.exe

C:\WINDOWS\system32\xvjwusjc.exe

C:\WINDOWS\system32\xxyxvvt.dll

C:\WINDOWS\system32\yihiqdwp.dll

C:\WINDOWS\system32\ynpnbsut.dll

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-28 to 2007-11-29 ))))))))))))))))))))))))))))))))))))

.

2007-11-27 21:35 <REP> d-------- C:\Program Files\Avira

2007-11-27 17:33 784,546 ---hs---- C:\WINDOWS\system32\pwdqihiy.ini

2007-11-25 15:30 89,088 --a------ C:\WINDOWS\system32\atl71.dll

2007-11-25 15:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll

2007-11-25 08:30 776,252 ---hs---- C:\WINDOWS\system32\raersjon.ini

2007-11-23 15:50 <REP> d-------- C:\WINDOWS\ERUNT

2007-11-23 15:28 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Grisoft

2007-11-23 15:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-23 15:28 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-23 14:59 2,820 --a------ C:\WINDOWS\system32\tmp.reg

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-23 14:45 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2007-11-23 14:45 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2007-11-23 14:45 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-11-23 14:44 2,004 --a------ C:\WINDOWS\system32\drivers\fwdrv.err

2007-11-23 14:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-18 12:17 <REP> d-------- C:\Program Files\Ahead

2007-11-18 11:10 <REP> d-------- C:\WINDOWS\system32\AGEIA

2007-11-18 11:10 <REP> d-------- C:\Program Files\AGEIA Technologies

2007-11-18 10:45 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-11-18 10:40 <REP> d-------- C:\Program Files\Sony

2007-11-18 10:40 <REP> d-------- C:\Program Files\Flying Lab Software

2007-11-17 03:30 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys

2007-11-17 03:30 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys

2007-11-17 03:29 <REP> d-------- C:\Program Files\WMV9_VCM

2007-11-17 03:29 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Anuman Interactive

2007-11-17 03:23 <REP> d-------- C:\Program Files\Anuman Interactive

2007-11-10 02:13 <REP> d-------- C:\Documents and Settings\Patrick\Application Data\Electronic Arts

2007-11-10 00:08 <REP> d-------- C:\Dark Age of Camelot - Darkness Rising

2007-11-09 21:04 <REP> d-------- C:\Documents and Settings\Patrick\Contacts

2007-11-09 21:01 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-11-09 21:00 <REP> d-------- C:\Program Files\Windows Live

2007-11-09 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-01 18:12 <REP> d-------- C:\Program Files\Electronic Arts

2007-10-30 00:02 <REP> d--h----- C:\WINDOWS\PIF

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-27 05:23 --------- d-----w C:\Documents and Settings\Patrick\Application Data\Azureus

2007-11-18 10:05 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-11-14 15:58 --------- d-----w C:\Program Files\World of Warcraft

2007-11-06 02:04 --------- d-----w C:\Program Files\DivX

2007-11-05 19:48 --------- d-----w C:\Documents and Settings\Patrick\Application Data\teamspeak2

2007-11-04 18:10 --------- d-----w C:\Program Files\Java

2007-10-23 21:55 --------- d-----w C:\Program Files\Flagship Studios

2007-10-21 10:13 --------- d-----w C:\Documents and Settings\Patrick\Application Data\MSNInstaller

2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll

2007-10-04 21:38 --------- d-----w C:\Program Files\Azureus

2007-10-04 20:31 --------- d-----w C:\Program Files\DAEMON Tools

2007-10-04 20:30 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys

2007-10-01 18:41 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment

2007-09-30 06:21 --------- d-----w C:\Program Files\QuickTime

2007-09-30 06:20 --------- d-----w C:\Program Files\Xilisoft

2007-09-29 18:06 --------- d-----w C:\Program Files\WinAVI MP4 Converter

2007-09-11 15:20 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 12:24]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 12:44 C:\WINDOWS\RTHDCPL.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 C:\WINDOWS\SkyTel.exe]

"Launch LGDCore"="C:\Program Files\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31]

"Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" []

"NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 16:35]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-27 21:36]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 0 (0x0)

 

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys

.

**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-29 18:32:00

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

Completion time: 2007-11-29 18:33:13 - machine was rebooted

C:\ComboFix2.txt ... 2007-11-28 23:01

.

--- E O F ---

 

----------------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 18:36:23, on 29/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Logitech\G-series Software\LGDCore.exe

C:\Program Files\Logitech\G-series Software\LCDMon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Documents and Settings\Patrick\Bureau\infection\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1189434816031

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[angelique]

'soir

 

**Juste une petite ligne à cocher et fixchecked avec HijacThis:

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

**supprimer les éléments de sauvegarde de combofix, le dossier c:\qoobox à moins que Charles souhaite faire uploader des éléments de ce dossier , donc attend sa réponse .

 

**je verrais bien 2 *.ini dans le rapport ComboFix[je ne te les cite pas, je prefere laisser Charles les determiner;o)]il est certes plus expert que moi , mais rien de grave voir obsolete à mes yeux.

 

Sinon RAZ!!

 

Je laisse Charles finir de te guider.

 

@++

[Miaw]

Hi

Ligne fixée, en te souhaitant une bonne soirée et en te remerciant pour toute l'aide que tu m'as apporté =)

[Thanos]

salut Miaw, angelique,

 

Comme te l'as dit angelique, il reste des fichiers à éliminer: rien de grave

Je vais te demander de poster un rapport pour lister le répertoire C:\Windows\system32 afin de virer les restes.

Après ca on élimine les restes

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree

Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte.

A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip

Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter]

pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt

[Miaw]

Re

 

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 29/11/2007 à 21:52:24,12

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->29/11/2007 21:52:08

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->29/11/2007 21:51:49

C:\WINDOWS\prefetch\7ZG.EXE-04CCF0C9.pf -->29/11/2007 21:48:12

C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->29/11/2007 21:48:03

C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->29/11/2007 21:46:17

C:\WINDOWS\prefetch\RUNDLL32.EXE-2E5AF1D7.pf -->29/11/2007 21:46:12

C:\WINDOWS\prefetch\WOW.EXE-02513553.pf -->29/11/2007 20:51:56

C:\WINDOWS\prefetch\INSTALLER.EXE-31AA5061.pf -->29/11/2007 20:51:32

C:\WINDOWS\prefetch\WOW-0.3.2.7627-TO-0.3.2.7655--11E4A96E.pf -->29/11/2007 20:51:31

C:\WINDOWS\prefetch\WOW-0.3.2.7627-TO-0.3.2.7655--0CCF7AF3.pf -->29/11/2007 20:50:48

 

C:\WINDOWS\System32\drivers\fwdrv.err -->28/11/2007 17:02:16

C:\WINDOWS\System32\drivers\avipbb.sys -->27/11/2007 21:36:28

C:\WINDOWS\System32\drivers\lirsgt.sys -->17/11/2007 03:30:29

C:\WINDOWS\System32\drivers\atksgt.sys -->17/11/2007 03:30:29

C:\WINDOWS\System32\drivers\sptd.sys -->04/10/2007 21:30:11

C:\WINDOWS\System32\drivers\avgntdd.sys -->09/08/2007 13:04:11

C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:19

 

C:\WINDOWS\System32\pwdqihiy.ini -->27/11/2007 17:34:09

C:\WINDOWS\System32\raersjon.ini -->25/11/2007 18:30:22

C:\WINDOWS\System32\tmp.txt -->25/11/2007 15:37:31

C:\WINDOWS\System32\tmp.reg -->25/11/2007 15:37:31

C:\WINDOWS\System32\wpa.dbl -->22/11/2007 16:54:24

C:\WINDOWS\System32\PerfStringBackup.INI -->17/11/2007 03:29:05

C:\WINDOWS\System32\perfh00C.dat -->17/11/2007 03:29:05

C:\WINDOWS\System32\perfh009.dat -->17/11/2007 03:29:05

C:\WINDOWS\System32\perfc00C.dat -->17/11/2007 03:29:05

C:\WINDOWS\System32\perfc009.dat -->17/11/2007 03:29:05

C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->04/11/2007 19:09:22

C:\WINDOWS\System32\sirenacm.dll -->18/10/2007 11:31:46

C:\WINDOWS\System32\javaws.exe -->24/09/2007 23:31:42

C:\WINDOWS\System32\javacpl.cpl -->24/09/2007 23:31:42

C:\WINDOWS\System32\javaw.exe -->24/09/2007 22:30:30

C:\WINDOWS\System32\java.exe -->24/09/2007 22:30:28

C:\WINDOWS\System32\FNTCACHE.DAT -->24/09/2007 20:17:11

C:\WINDOWS\System32\nvapps.xml -->13/09/2007 20:55:30

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->11/09/2007 17:31:39

C:\WINDOWS\System32\CmdLineExt.dll -->11/09/2007 16:20:02

C:\WINDOWS\System32\lhacm.acm -->11/09/2007 16:02:54

C:\WINDOWS\System32\TZLog.log -->10/09/2007 15:59:50

C:\WINDOWS\System32\h323log.txt -->10/09/2007 12:21:39

C:\WINDOWS\System32\wpa.bak -->10/09/2007 11:39:14

C:\WINDOWS\System32\LoopyMusic.wav -->10/09/2007 11:36:47

 

C:\WINDOWS.log -->29/11/2007 18:31:17

C:\WINDOWS\WindowsUpdate.log -->29/11/2007 18:30:30

C:\WINDOWS\bootstat.dat -->29/11/2007 18:30:17

C:\WINDOWS\SchedLgU.Txt -->29/11/2007 18:29:28

C:\WINDOWS\ntbtlog.txt -->28/11/2007 17:02:38

C:\WINDOWS\MEMORY.DMP -->27/11/2007 21:43:06

C:\WINDOWS\setupapi.log -->26/11/2007 23:02:04

C:\WINDOWS\setupact.log -->25/11/2007 15:38:59

C:\WINDOWS\wiaservc.log -->23/11/2007 13:49:32

C:\WINDOWS\wiadebug.log -->23/11/2007 13:49:30

C:\WINDOWS\DIFx.log -->18/11/2007 11:11:04

C:\WINDOWS\DirectX.log -->18/11/2007 11:10:35

C:\WINDOWS\DPINST.LOG -->09/11/2007 21:03:26

C:\WINDOWS\catchme.exe -->08/11/2007 16:59:01

C:\WINDOWS\wmsetup.log -->04/11/2007 10:26:39

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 500

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16512 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16512 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x44160000 0x124000 7.00.6000.16512 C:\WINDOWS\system32\urlmon.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cb000 7.00.6000.16512 C:\WINDOWS\system32\ieframe.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x442b0000 0x3c000 7.00.6000.16512 C:\WINDOWS\system32\webcheck.dll

0x10000000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

0x00d70000 0x11000 7.00.0000.0010 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll

0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL

0x028b0000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x02c60000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll

0x086d0000 0x247000 10.00.0000.4054 C:\WINDOWS\system32\wmvcore.dll

0x070d0000 0x3a000 10.00.0000.3802 C:\WINDOWS\system32\WMASF.DLL

0x031a0000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll

0x035a0000 0x24000 4.42.0000.0000 C:\Program Files\7-Zip\7-zip.dll

0x58640000 0x8a000 1.09.0000.0305 C:\WINDOWS\system32\l3codeca.acm

0x04090000 0x836000 6.14.0011.6218 C:\WINDOWS\system32\nvcpl.dll

0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

0x035d0000 0x45000 6.14.0011.6218 C:\WINDOWS\system32\NVRSFR.DLL

0x048d0000 0x5a000 6.14.0011.6218 C:\WINDOWS\system32\nvapi.dll

0x03910000 0x73000 6.14.0010.12002 C:\WINDOWS\system32\nvshell.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 796

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54F1-7BD6

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 130 682 597 376 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54F1-7BD6

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

10/09/2007 15:33 <REP> .

10/09/2007 15:33 <REP> ..

10/09/2007 10:24 65 desktop.ini

30/07/2007 18:24 293 wuweb.inf

2 fichier(s) 358 octets

 

Total des fichiers listés :

2 fichier(s) 358 octets

2 Rép(s) 130 682 597 376 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-29 21:53:30

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:62,89,4c,e2,2f,c3,f6,5d,2e,c9,0d,5b,f2,71,ca,50,49,ff,f3,69,ce,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,40,26,97,da,91,e9,e6,d2,78,ab,fe,c0,d4,32,47,99,96,..

"khjeh"=hex:be,a3,f1,cf,07,cb,05,9b,d9,44,d7,d7,39,2b,39,b6,71,6b,7b,e2,5d,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:03,09,b8,c3,ba,03,a1,69,47,e0,84,2f,89,ed,d7,73,4c,f4,de,25,b4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:62,89,4c,e2,2f,c3,f6,5d,2e,c9,0d,5b,f2,71,ca,50,49,ff,f3,69,ce,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"a0"=hex:20,01,00,00,40,26,97,da,91,e9,e6,d2,78,ab,fe,c0,d4,32,47,99,96,..

"khjeh"=hex:be,a3,f1,cf,07,cb,05,9b,d9,44,d7,d7,39,2b,39,b6,71,6b,7b,e2,5d,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:03,09,b8,c3,ba,03,a1,69,47,e0,84,2f,89,ed,d7,73,4c,f4,de,25,b4,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

472 - kpf4gui.exe

500 - explorer.exe

772 - csrss.exe

796 - winlogon.exe

840 - services.exe

860 - lsass.exe

928 - alg.exe

1012 - svchost.exe

1092 - svchost.exe

1188 - svchost.exe

1416 - svchost.exe

1540 - kpf4gui.exe

1660 - avguard.exe

1868 - sched.exe

1880 - guard.exe

1920 - kpf4ss.exe

1980 - nvsvc32.exe

2736 - RTHDCPL.exe

2780 - LGDCore.exe

2792 - LCDMon.exe

2860 - LCDPOP3.exe

2868 - LCDCountdown.ex

2880 - LCDMedia.exe

2888 - avgas.exe

2896 - LCDClock.exe

2932 - avgnt.exe

3024 - ctfmon.exe

3148 - msnmsgr.exe

3676 - cmd.exe

 

Total number of processes = 30

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806E2000 - \WINDOWS\system32\hal.dll

BADA8000 - \WINDOWS\system32\KDCOM.DLL

BACB8000 - \WINDOWS\system32\BOOTVID.dll

BA6BD000 - sptd.sys

BADAA000 - \WINDOWS\System32\Drivers\WMILIB.SYS

BA6A5000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

BA676000 - ACPI.sys

BA665000 - pci.sys

BA8A8000 - isapnp.sys

BAE70000 - pciide.sys

BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

BADAC000 - viaide.sys

BA8B8000 - MountMgr.sys

BA646000 - ftdisk.sys

BAB30000 - PartMgr.sys

BAB38000 - videX32.sys

BA8C8000 - VolSnap.sys

BA62E000 - atapi.sys

BA8D8000 - mv614x.sys

BA8E8000 - disk.sys

BA8F8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

BA60E000 - fltMgr.sys

BA5FC000 - sr.sys

BAB40000 - xfilt.sys

BA908000 - PxHelp20.sys

BA5E5000 - KSecDD.sys

BA558000 - Ntfs.sys

BA52B000 - NDIS.sys

BA510000 - Mup.sys

BA9F8000 - \SystemRoot\system32\DRIVERS\AmdK8.sys

B9E22000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

B9E0E000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

BAA08000 - \SystemRoot\system32\DRIVERS\atl01_xp.sys

BAA18000 - \SystemRoot\system32\DRIVERS\cdrom.sys

BAA28000 - \SystemRoot\system32\DRIVERS\redbook.sys

B9DEB000 - \SystemRoot\system32\DRIVERS\ks.sys

BAA38000 - \SystemRoot\system32\DRIVERS\imapi.sys

BABD0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

B9DC8000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

BABD8000 - \SystemRoot\system32\DRIVERS\usbehci.sys

BABE0000 - \SystemRoot\system32\DRIVERS\fdc.sys

B9DB4000 - \SystemRoot\system32\DRIVERS\parport.sys

BADCA000 - \SystemRoot\system32\DRIVERS\ASACPI.sys

B9DA3000 - \SystemRoot\system32\DRIVERS\serial.sys

BAD94000 - \SystemRoot\system32\DRIVERS\serenum.sys

BABE8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

BABF0000 - \SystemRoot\system32\DRIVERS\mouclass.sys

B9D7E000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys

B9D17000 - \SystemRoot\System32\Drivers\adluz9vi.SYS

BAEA2000 - \SystemRoot\system32\DRIVERS\audstub.sys

BAA58000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

BA4CC000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

B9CE8000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

BAA68000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

BAA78000 - \SystemRoot\system32\DRIVERS\raspptp.sys

BAC50000 - \SystemRoot\system32\DRIVERS\TDI.SYS

B9CAF000 - \SystemRoot\system32\DRIVERS\psched.sys

BAA88000 - \SystemRoot\system32\DRIVERS\msgpc.sys

BAC58000 - \SystemRoot\system32\DRIVERS\ptilink.sys

BAC60000 - \SystemRoot\system32\DRIVERS\raspti.sys

BAAA8000 - \SystemRoot\system32\DRIVERS\termdd.sys

BADD2000 - \SystemRoot\system32\DRIVERS\swenum.sys

B973B000 - \SystemRoot\system32\DRIVERS\update.sys

BA4C0000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

BAAB8000 - \SystemRoot\System32\Drivers\NDProxy.SYS

BAAD8000 - \SystemRoot\system32\DRIVERS\usbhub.sys

BADD8000 - \SystemRoot\system32\DRIVERS\USBD.SYS

B6188000 - \SystemRoot\system32\drivers\RtkHDAud.sys

B6166000 - \SystemRoot\system32\drivers\portcls.sys

BAAE8000 - \SystemRoot\system32\drivers\drmk.sys

BADDE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

BAF98000 - \SystemRoot\System32\Drivers\Null.SYS

BADE0000 - \SystemRoot\System32\Drivers\Beep.SYS

BAF99000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

BAC88000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

BAC90000 - \SystemRoot\System32\drivers\vga.sys

BADE6000 - \SystemRoot\System32\Drivers\mnmdd.SYS

BADE8000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

B6018000 - \SystemRoot\system32\drivers\fwdrv.sys

BAC98000 - \SystemRoot\System32\Drivers\Msfs.SYS

BACA0000 - \SystemRoot\System32\Drivers\Npfs.SYS

BA4D4000 - \SystemRoot\system32\DRIVERS\rasacd.sys

B6005000 - \SystemRoot\system32\DRIVERS\ipsec.sys

B5FAD000 - \SystemRoot\system32\DRIVERS\tcpip.sys

B5F5D000 - \SystemRoot\system32\DRIVERS\netbt.sys

B5F3C000 - \SystemRoot\system32\DRIVERS\ipnat.sys

B5F1A000 - \SystemRoot\System32\drivers\afd.sys

BAB08000 - \SystemRoot\system32\DRIVERS\netbios.sys

BAB18000 - \SystemRoot\system32\DRIVERS\wanarp.sys

BACA8000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

B5EEF000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B5E80000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

B5E6C000 - \SystemRoot\system32\drivers\khips.sys

BA958000 - \SystemRoot\System32\Drivers\Fips.SYS

BA968000 - \SystemRoot\system32\DRIVERS\avipbb.sys

BADEA000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

BAFBE000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

BAB88000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

B9CD0000 - \SystemRoot\system32\DRIVERS\hidusb.sys

BA978000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

B9CCC000 - \SystemRoot\system32\DRIVERS\mouhid.sys

B9CC8000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

BA9A8000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B5E2C000 - \SystemRoot\System32\Drivers\dump_atapi.sys

BADF6000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

B6146000 - \SystemRoot\System32\drivers\Dxapi.sys

BAB98000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

BAECD000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\nv4_disp.dll

B5C84000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B5A11000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

B5994000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

BAE6A000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B5929000 - \SystemRoot\system32\DRIVERS\atksgt.sys

BABB8000 - \SystemRoot\system32\DRIVERS\lirsgt.sys

B57E7000 - \SystemRoot\system32\DRIVERS\srv.sys

B548A000 - \SystemRoot\system32\drivers\wdmaud.sys

B5A54000 - \SystemRoot\system32\drivers\sysaudio.sys

B4F1F000 - \SystemRoot\System32\Drivers\HTTP.sys

B4FC0000 - \??\C:\DOCUME~1\Patrick\LOCALS~1\Temp\catchme.sys

B381C000 - \SystemRoot\system32\drivers\kmixer.sys

BACB0000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

B37D7000 - \SystemRoot\System32\Drivers\Fastfat.SYS

BAFC2000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 127

 

Liste des programmes installes

 

7-Zip 4.42

Adobe Flash Player ActiveX

Adobe Shockwave Player

AGEIA PhysX v7.07.24

Assistant de connexion Windows Live

Attansic Giga Ethernet Utility

Attansic L1 Gigabit Ethernet Driver

AVG Anti-Spyware 7.5

Avira AntiVir PersonalEdition Classic

Azureus Vuze

Correctif pour Windows XP (KB914440)

Correctif pour Windows XP (KB935448)

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Crysis® SP Demo

DivX Content Uploader

DivX Web Player

GPGNet

Hellgate: London Demo

High Definition Audio Driver Package - KB888111

HijackThis 1.99.1

Hotfix for Windows XP (KB915865)

Java 6 Update 3

Logitech G-series Keyboard Software

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0

Microsoft AppLocale

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Visual C++ 2005 Redistributable

Microsoft Windows Application Compatibility Database

Microsoft Windows Media Video 9 VCM

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB937143)

Mise à jour de sécurité pour Windows XP (KB938127)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB938828)

Mozilla Firefox (2.0.0.10)

MSN

Nero - Burning Rom

NVIDIA Drivers

Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)

Pirates of the Burning Sea

Platform

PowerDVD

Realtek High Definition Audio Driver

Security Update pour Microsoft .NET Framework 2.0 (KB928365)

Sunbelt Kerio Personal Firewall

Supreme Commander

TeamSpeak 2 RC2

Theatre of War (Retirer seulement)

VIA Platform Device Manager

VideoLAN VLC media player 0.8.6c

WebFldrs XP

Winamp (remove only)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Live installer

Windows Live Messenger

Windows Media Format Runtime

World of Warcraft

Wow Cartographe 1.07

Xilisoft 3GP Video Converter

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54F1-7BD6

 

Répertoire de C:\Program Files

 

29/11/2007 18:29 <REP> .

29/11/2007 18:29 <REP> ..

10/09/2007 20:53 <REP> 7-Zip

18/11/2007 11:11 <REP> AGEIA Technologies

18/11/2007 12:17 <REP> Ahead

17/11/2007 03:23 <REP> Anuman Interactive

10/09/2007 11:07 <REP> Attansic

27/11/2007 21:35 <REP> Avira

04/10/2007 22:38 <REP> Azureus

10/09/2007 10:23 <REP> ComPlus Applications

15/09/2007 18:25 <REP> CyberLink

04/10/2007 21:31 <REP> DAEMON Tools

10/09/2007 10:55 <REP> DIFX

06/11/2007 03:04 <REP> DivX

01/11/2007 18:12 <REP> Electronic Arts

28/11/2007 22:57 <REP> Fichiers communs

23/10/2007 22:55 <REP> Flagship Studios

18/11/2007 10:40 <REP> Flying Lab Software

23/11/2007 15:28 <REP> Grisoft

17/11/2007 03:28 <REP> Internet Explorer

04/11/2007 19:10 <REP> Java

11/09/2007 19:38 <REP> Logitech

10/09/2007 15:53 <REP> Messenger

22/09/2007 05:25 <REP> microsoft frontpage

10/09/2007 10:23 <REP> Movie Maker

29/11/2007 20:13 <REP> Mozilla Firefox

21/10/2007 11:13 <REP> MSN

10/09/2007 10:22 <REP> MSN Gaming Zone

10/09/2007 10:23 <REP> NetMeeting

10/09/2007 10:22 <REP> Online Services

10/09/2007 15:58 <REP> Outlook Express

30/09/2007 07:21 <REP> QuickTime

10/09/2007 11:02 <REP> Realtek

10/09/2007 10:24 <REP> Services en ligne

18/11/2007 10:40 <REP> Sony

10/09/2007 17:56 <REP> Sunbelt Software

11/09/2007 16:03 <REP> Teamspeak2_RC2

11/09/2007 16:01 <REP> THQ

10/09/2007 10:55 <REP> VIA

10/09/2007 20:30 <REP> VideoLAN

10/09/2007 20:18 <REP> Winamp

29/09/2007 19:06 <REP> WinAVI MP4 Converter

09/11/2007 21:03 <REP> Windows Live

10/09/2007 20:08 <REP> Windows Media Player

10/09/2007 10:22 <REP> Windows NT

17/11/2007 03:29 <REP> WMV9_VCM

14/11/2007 16:58 <REP> World of Warcraft

13/09/2007 18:56 <REP> WowCartographe

10/09/2007 10:25 <REP> xerox

30/09/2007 07:20 <REP> Xilisoft

0 fichier(s) 0 octets

50 Rép(s) 130 674 434 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54F1-7BD6

 

Répertoire de C:\Program Files\fichiers communs

 

28/11/2007 22:57 <REP> .

28/11/2007 22:57 <REP> ..

01/10/2007 19:41 <REP> Blizzard Entertainment

15/09/2007 18:25 <REP> InstallShield

11/09/2007 17:31 <REP> Java

09/11/2007 21:03 <REP> Microsoft Shared

10/09/2007 10:23 <REP> MSSoap

10/09/2007 12:07 <REP> ODBC

10/09/2007 10:23 <REP> Services

10/09/2007 12:07 <REP> SpeechEngines

10/09/2007 15:58 <REP> System

18/11/2007 10:45 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

12 Rép(s) 130 674 434 048 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54F1-7BD6

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

10/09/2007 10:40 <REP> .

10/09/2007 10:40 <REP> ..

18/05/2001 14:57 561 209 MSONSEXT.DLL

03/06/1999 11:09 122 937 MSOWS409.DLL

07/03/2001 06:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 130 674 434 048 octets libres

 

 

c:\Documents and Settings\Patrick\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe

c:\Documents and Settings\Patrick\Application Data\Azureus\plugins\azemp\azmplay.exe

c:\Documents and Settings\Patrick\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

c:\Documents and Settings\Patrick\Application Data\Microsoft\Installer\{394BE3D9-7F57-4638-A8D1-1D88671913B7}\_18be6784.exe

c:\Documents and Settings\Patrick\Application Data\Microsoft\Installer\{394BE3D9-7F57-4638-A8D1-1D88671913B7}\_294823.exe

c:\Documents and Settings\Patrick\Application Data\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\ARPPRODUCTICON.exe

c:\Documents and Settings\Patrick\Application Data\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe

c:\Documents and Settings\Patrick\Application Data\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\NewShortcut3_8315396A5EA1419DBEC4978284BDF556.exe

c:\Documents and Settings\Patrick\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\Patrick\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\Patrick\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Patrick\Bureau\avenger.exe

c:\Documents and Settings\Patrick\Bureau\ComboFix.exe

c:\Documents and Settings\Patrick\Bureau\OTMoveIt.exe

c:\Documents and Settings\Patrick\Bureau\VundoFix.exe

c:\Documents and Settings\Patrick\Bureau\WoW-2.3.0.7561-to-0.3.2.7627-frFR-downloader.exe

c:\Documents and Settings\Patrick\Bureau\WoW-2.3.0.7561-to-0.3.2.7627-frFR-patch.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Patrick\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Patrick\Bureau\Easy cleaner\EasyClea.exe

c:\Documents and Settings\Patrick\Bureau\Ice Sword_en\IceSword.exe

c:\Documents and Settings\Patrick\Bureau\infection\SDFix.exe

c:\Documents and Settings\Patrick\Bureau\infection\Hijackthis\HijackThis.exe

c:\Documents and Settings\Patrick\Bureau\installers\PhysX_7.07.24_SystemSoftware.exe

c:\Documents and Settings\Patrick\Bureau\installers\DirectX9\DXSETUP.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Artificial Girl 3l.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\JS3_MakeTrial.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\RL_Update_103.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\school_add_clothes.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\Schoolmate decrypt\SchoolMateDecrypt_to_Figure.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\Schoolmate decrypt\SchoolMateDecrypt_to_Retail.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\Schoolmate decrypt\SchoolMateDecrypt_to_SB3.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\Schoolmate decrypt\SchoolMateDecrypt_to_Trial.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\SFO_Holand_Cosmate_V2a\SB3Utility.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\SFO_Holand_Cosmate_V2a\SchoolMateDecrypt_to_Retail.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\[schoolMate Retail][TheShadow][V1.1]\SchoolMate English.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\’ljÁˆß‘•ƒf?[ƒ^ ƒ^ƒCƒ€ƒXƒgƒbƒv ˜AŽÊ‹@”\Startup.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\’ljÁˆß‘•ƒf?[ƒ^ ƒ^ƒCƒ€ƒXƒgƒbƒv ˜AŽÊ‹@”\setup\FileCopy.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier\Schoolmate\’ljÁˆß‘•ƒf?[ƒ^ ƒ^ƒCƒ€ƒXƒgƒbƒv ˜AŽÊ‹@”\setup\data\SchoolMate.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier1\Sexy_Beach_3_English_Patch_3.3.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier1\SexyBeach3_eng.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\Nouveau dossier1\Sexy???3.exe

c:\Documents and Settings\Patrick\Bureau\installers\Nouveau dossier\rapelay-en\RapeLay-en.exe

c:\Documents and Settings\Patrick\Bureau\Naruto Scans\Hellgate London Demo Setup\Setup.exe

c:\Documents and Settings\Patrick\Bureau\Naruto Scans\Hellgate London Demo Setup\DirectXSetup\DXSETUP.exe

c:\Documents and Settings\Patrick\Bureau\Naruto Scans\Hellgate London Demo Setup\ProgramFiles\Flagship Studios\Hellgate London Demo\Launcher.exe

c:\Documents and Settings\Patrick\Bureau\Naruto Scans\Hellgate London Demo Setup\ProgramFiles\Flagship Studios\Hellgate London Demo\SP_x86\hellgateDemo_sp_dx9_x86.exe

c:\Documents and Settings\Patrick\Bureau\Naruto Scans\Hellgate London Demo Setup\WI\WindowsInstaller-KB893803-v2-x86.exe

c:\Documents and Settings\Patrick\Bureau\Potbs\PoTBS-FullInstaller.exe

c:\Documents and Settings\Patrick\Bureau\Potbs\setup.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\exit.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\Reboot.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\Patrick\Bureau\SmitfraudFix\WS2Fix.exe

c:\Documents and Settings\Patrick\Local Settings\Temp\Blizzard Installer Bootstrap - 0081a61f\Installer.exe

c:\Documents and Settings\Patrick\Mes documents\Azureus Downloads\Beepa.Fraps.v2.8.1.6403.Retail-AnyFile\Beepa.Fraps.v2.8.1.6403.Retail-AnyFile.exe

c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_MADRON.tar.gz a l'adresse http://upload.malekal.com

[Thanos]

Ok Miaw: juste quelques fichiers à éliminer

Je te demande un dernier effort > un scan en ligne pour être sûr que rien ne nous échappe.

Note: il va y avoir des détections sur certains éléments, elles correspondent aux infections confinées dans la quarantaine des outils téléchargés. Ne t'inquiêtes pas

 

Pendant que je prépare un dernier script, fais le scan suivant stp >

 

Il faut que tu désactives le bouclier d'Antivir avant et pendant le temps du scan sinon ca ne marchera pas! (Antivir et Panda entreront en conflit!). (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport)

 

Ensuite, fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

• Il faut choisir Full Scan (et pas QuickScan) >
  
• Poste le rapport qu'il t'affichera à la fin.
  
• Note: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
  
• Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
  
• Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054
  

Modifié le 29 novembre 2007 par charles ingals

[Miaw]

Merci , je ferai le scan demain car je ne rentrerai pas se soir rapport au boulot ^^.

J'éditerai mon message dés que le scan sera fini, bonne journée =)