Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

041207 - Infection neosapri

neosapri

Par neosapri
dans Analyses et éradication malwares

 Partager

Messages recommandés

neosapri Member

neosapri

Posté(e)
Posté(e)

Voici le rapport HJT... En remerciant d'avance pour l'aide.

En attente des instructions...

Symptômes : IE très lent, ordi très lent aussi, bug au démarrage, réenclenchement bios en cours de démarrage.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:02:32, on 4/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\services.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HiJackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir neosapri,

 

*** Soit le bienvenu sur le forum sécurité de Zebulon !!! ***

 

Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] :

 

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

  1. Enregistre HJTInstall.exe sur ton bureau hjt.gif
  2. Double-clique sur HJTInstall.exe pour lancer le programme
  3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  4. Accepte la license en cliquant sur le bouton "I Accept"
  5. Choisis l'option "Do a system scan and save a log file"
  6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
  7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
  8. Colle le rapport que tu viens de copier sur ce forum
  9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pagesperso-orange.fr/rginformatique.../demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle !

 

 

2) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse-le sur ton bureau
  • Un nouveau dossier va être créé (DiagHelp)
  • Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  • Copie/colle le rapport qui s'ouvre sur ce forum

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

Bon travail à toi !

:P

neosapri Member

neosapri

Posté(e)
  • Auteur
Posté(e)

Rapport HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 0:15:48, on 5/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\services.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

 

--

End of file - 4895 bytes

 

Rapport DiagHelp

 

DiagHelp version v1.4 - http://www.malekal.com

excute le mer. 05/12/2007 à 0:33:14,51

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->5/12/2007 0:33:05

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->5/12/2007 0:33:02

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->5/12/2007 0:32:49

C:\WINDOWS\prefetch\QTTASK.EXE-342507FB.pf -->5/12/2007 0:29:49

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->5/12/2007 0:23:53

C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->5/12/2007 0:23:09

C:\WINDOWS\prefetch\GZIP.EXE-116653D3.pf -->5/12/2007 0:23:00

C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->5/12/2007 0:22:58

C:\WINDOWS\prefetch\REG.EXE-0D2A95F7.pf -->5/12/2007 0:22:56

C:\WINDOWS\prefetch\KPROCCHECK.EXE-0AD48A9E.pf -->5/12/2007 0:22:56

 

C:\WINDOWS\System32\drivers\usbaapl.sys -->4/09/2007 18:04:34

C:\WINDOWS\System32\drivers\GEARAspiWDM.sys -->19/09/2006 13:44:04

C:\WINDOWS\System32\drivers\StarOpen.sys -->24/07/2006 15:05:00

C:\WINDOWS\System32\drivers\ssm_mdm.sys -->30/08/2005 0:49:38

C:\WINDOWS\System32\drivers\ssm_mdfl.sys -->30/08/2005 0:49:34

C:\WINDOWS\System32\drivers\ssm_cmnt.sys -->30/08/2005 0:49:28

C:\WINDOWS\System32\drivers\ssm_cm.sys -->30/08/2005 0:49:28

 

C:\WINDOWS\System32\winlogon.exe -->3/12/2007 22:17:42

C:\WINDOWS\System32\wpa.dbl -->3/12/2007 13:33:37

C:\WINDOWS\System32\xpdx.sys -->27/11/2007 9:57:26

C:\WINDOWS\System32\delFSF.bat -->21/11/2007 18:17:15

C:\WINDOWS\System32\6_exception.nls -->21/11/2007 14:44:55

C:\WINDOWS\System32\mstscex.dll -->21/11/2007 14:44:36

C:\WINDOWS\System32\oleauth32.dll -->21/11/2007 14:44:34

C:\WINDOWS\System32\kb1ss1p.dll -->2/11/2007 15:11:24

C:\WINDOWS\System32\kb1ss1p.sys -->2/11/2007 15:11:21

C:\WINDOWS\System32\FNTCACHE.DAT -->2/11/2007 11:41:33

C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 12:58:05

C:\WINDOWS\System32\perfh009.dat -->28/10/2007 12:58:05

C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 12:58:05

C:\WINDOWS\System32\perfc009.dat -->28/10/2007 12:58:05

C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 12:58:04

C:\WINDOWS\System32\rsbo.exe -->24/10/2007 9:42:09

C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52

C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42

C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36

C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32

C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28

C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28

C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20

C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16

 

C:\WINDOWS\WindowsUpdate.log -->5/12/2007 0:31:56

C:\WINDOWS\setupapi.log -->4/12/2007 19:55:40

C:\WINDOWS\wiadebug.log -->4/12/2007 19:51:30

C:\WINDOWS.log -->4/12/2007 19:48:40

C:\WINDOWS\wiaservc.log -->4/12/2007 19:47:31

C:\WINDOWS\bootstat.dat -->4/12/2007 19:47:09

C:\WINDOWS\ntbtlog.txt -->4/12/2007 19:46:43

C:\WINDOWS\SchedLgU.Txt -->4/12/2007 19:13:43

C:\WINDOWS\winamp.ini -->4/12/2007 18:05:45

C:\WINDOWS\setupact.log -->4/12/2007 0:07:49

C:\WINDOWS\NeroDigital.ini -->26/11/2007 19:37:23

C:\WINDOWS\BELOTEXP.INI -->16/11/2007 23:13:36

C:\WINDOWS\IE4 Error Log.txt -->30/10/2007 11:47:07

C:\WINDOWS\wmsetup.log -->12/10/2007 21:15:30

C:\WINDOWS\WMSysPr9.prx -->12/10/2007 21:15:29

 

winlogon.exe

Verified: Unsigned

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1636

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL

0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x10000000 0x1b000 C:\WINDOWS\system32\kb1ss1p.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll

0x01d00000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

0x01fa0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x01d60000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x01de0000 0x2b000 C:\Program Files\WinRAR\rarext.dll

0x00b60000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 640

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x10000000 0xe000 C:\WINDOWS\system32\mstscex.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\temp

 

04/12/2007 19:47 20.480 startdrv.exe

1 fichier(s) 20.480 octets

0 Rép(s) 7.304.171.520 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\system

 

14/08/2002 14:03 4.672 WOWPOST.EXE

1 fichier(s) 4.672 octets

0 Rép(s) 7.304.171.520 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\system32

 

03/08/2004 23:54 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 7.304.171.520 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

10/11/2007 16:45 <REP> .

10/11/2007 16:45 <REP> ..

14/07/2005 08:54 65 desktop.ini

23/03/2007 12:17 1.292 erma.inf

12/09/2007 14:14 378 ImageUploader4.inf

12/09/2007 14:16 2.635.312 ImageUploader4.ocx

14/02/2007 15:30 144 setup.inf

11/06/2007 12:21 5.021 swflash.inf

6 fichier(s) 2.642.212 octets

 

Total des fichiers listés :

6 fichier(s) 2.642.212 octets

2 Rép(s) 7.304.171.520 octets libres

 

Recherche de rootkit! (Merci S!Ri)

Runtime2 présent! Possible infection Trojan.Keylogger.iOpus.A/Troj/SpyAge-B/Win32/Cutwail.M, l'utilisation de SDFix est recommande

C:\WINDOWS\temp\startdrv.exe existe : possible précense rootkit runtime.sys/runtime2.sys

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE:*:Enabled:Microsoft Office Word"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-05 00:34:28

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\runtime2.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\runtime2.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime2]

"ImagePath"="\SystemRoot\system32\drivers\runtime2.sys"

"Type"=dword:00000001

"ErrorControl"=dword:00000001

"Start"=dword:00000001

"DependOnGroup"="File System"

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\runtime2.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\runtime2.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runtime2]

"ImagePath"="\SystemRoot\system32\drivers\runtime2.sys"

"Type"=dword:00000001

"ErrorControl"=dword:00000001

"Start"=dword:00000001

"DependOnGroup"="File System"

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"startdrv"="C:\WINDOWS\Temp\startdrv.exe"

 

scanning hidden files ...

 

C:\WINDOWS\system32\drivers\runtime2.sys 34816 bytes executable

 

scan completed successfully

hidden services: 1

hidden files: 1

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

584 - ctfmon.exe

616 - csrss.exe

640 - winlogon.exe

688 - services.exe

700 - lsass.exe

868 - svchost.exe

936 - svchost.exe

972 - hpohmr08.exe

1032 - svchost.exe

1172 - svchost.exe

1220 - NkbMonitor.exe

1244 - svchost.exe

1492 - IEXPLORE.EXE

1636 - explorer.exe

1880 - AppleMobileDevi

1984 - MDM.EXE

2008 - NPROTECT.EXE

2236 - hpoevm08.exe

3600 - services.exe

4820 - IEXPLORE.EXE

5948 - cmd.exe

 

Total number of processes = 22

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F9F32000 - \WINDOWS\system32\KDCOM.DLL

F9E42000 - \WINDOWS\system32\BOOTVID.dll

F99E2000 - ACPI.sys

F9F34000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F99D1000 - pci.sys

F9A32000 - isapnp.sys

F9F36000 - viaide.sys

F9CB2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F9A42000 - MountMgr.sys

F99B2000 - ftdisk.sys

F9F38000 - dmload.sys

F998C000 - dmio.sys

F9CBA000 - PartMgr.sys

F9A52000 - VolSnap.sys

F9974000 - atapi.sys

F9A62000 - disk.sys

F9A72000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F9955000 - fltMgr.sys

F9943000 - sr.sys

F992C000 - KSecDD.sys

F989F000 - Ntfs.sys

F9872000 - NDIS.sys

F9A82000 - uagp35.sys

F9CC2000 - viaagp1.sys

F9857000 - Mup.sys

F9BE2000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F953E000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F952A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F9D6A000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F9507000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F9D72000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F9BF2000 - \SystemRoot\system32\DRIVERS\imapi.sys

F9C02000 - \SystemRoot\System32\Drivers\AFS2K.SYS

FA15D000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

F9F48000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

F9C12000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F9C22000 - \SystemRoot\system32\DRIVERS\redbook.sys

F94E4000 - \SystemRoot\system32\DRIVERS\ks.sys

F9D7A000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys

F9456000 - \SystemRoot\system32\drivers\smwdm.sys

F9432000 - \SystemRoot\system32\drivers\portcls.sys

F9C32000 - \SystemRoot\system32\drivers\drmk.sys

F9F4A000 - \SystemRoot\system32\drivers\aeaudio.sys

F9C42000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys

F9D82000 - \SystemRoot\system32\DRIVERS\fdc.sys

F9421000 - \SystemRoot\system32\DRIVERS\serial.sys

F9EC6000 - \SystemRoot\system32\DRIVERS\serenum.sys

F940D000 - \SystemRoot\system32\DRIVERS\parport.sys

F9C52000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F9D8A000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F9D92000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F9ECA000 - \SystemRoot\system32\DRIVERS\gameenum.sys

FA160000 - \SystemRoot\system32\DRIVERS\audstub.sys

F9C62000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F9ECE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F93F6000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F9C72000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F9C82000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F9D9A000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F93E5000 - \SystemRoot\system32\DRIVERS\psched.sys

F9C92000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F9DA2000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F9DAA000 - \SystemRoot\system32\DRIVERS\raspti.sys

F93B4000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F9CA2000 - \SystemRoot\system32\DRIVERS\termdd.sys

F9F4C000 - \SystemRoot\system32\DRIVERS\swenum.sys

F92E0000 - \SystemRoot\system32\DRIVERS\update.sys

F9EEA000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F9AD2000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F9AE2000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F9F4E000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F9DB2000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F9F50000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

FA17F000 - \SystemRoot\System32\Drivers\Null.SYS

F9F52000 - \SystemRoot\System32\Drivers\Beep.SYS

F9DCA000 - \??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys

F9B02000 - \??\C:\WINDOWS\system32\xpdx.sys

F9DD2000 - \SystemRoot\System32\drivers\vga.sys

F9F54000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F9F56000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F9DDA000 - \SystemRoot\System32\Drivers\Msfs.SYS

F9DE2000 - \SystemRoot\System32\Drivers\Npfs.SYS

F9F22000 - \SystemRoot\system32\DRIVERS\rasacd.sys

B6F7D000 - \SystemRoot\system32\DRIVERS\ipsec.sys

B6F25000 - \SystemRoot\system32\DRIVERS\tcpip.sys

B6EFD000 - \SystemRoot\system32\DRIVERS\netbt.sys

B6EDB000 - \SystemRoot\System32\drivers\afd.sys

F9B12000 - \SystemRoot\system32\DRIVERS\netbios.sys

F9DEA000 - \SystemRoot\System32\Drivers\StarOpen.SYS

F9B22000 - \SystemRoot\system32\drivers\runtime2.sys

B6EAF000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B6E40000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F9B32000 - \SystemRoot\System32\Drivers\Fips.SYS

B6E1F000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F9B42000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F9B62000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B6D3F000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F9F5A000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F9E2A000 - \SystemRoot\System32\watchdog.sys

B6FE4000 - \SystemRoot\System32\drivers\Dxapi.sys

BF9C1000 - \SystemRoot\System32\drivers\dxg.sys

FA09A000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D3000 - \SystemRoot\System32\ati2dvag.dll

BFA09000 - \SystemRoot\System32\ati2cqag.dll

BFA41000 - \SystemRoot\System32\ati3duag.dll

BFC0F000 - \SystemRoot\System32\ativvaxx.dll

B6C2B000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B68F2000 - \SystemRoot\system32\drivers\wdmaud.sys

B6D8F000 - \SystemRoot\system32\drivers\sysaudio.sys

B6708000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

F9FD2000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B69EB000 - \SystemRoot\System32\Drivers\Aspi32.SYS

B69E7000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

B659D000 - \SystemRoot\system32\DRIVERS\srv.sys

BFFA0000 - \SystemRoot\System32\ATMFD.DLL

B637D000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS

B65F0000 - \??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS

B60FC000 - \SystemRoot\System32\Drivers\HTTP.sys

FA09D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

B5E76000 - \SystemRoot\system32\drivers\kmixer.sys

 

Total number of drivers = 123

 

Liste des programmes installes

 

-(/'|'\)- DivX 5.0.5 Pro Video Codec -(/'|'\)-

-(/'|'\)- DivX Codec 3.11a Codec -(/'|'\)-

3ivx D4 4.0.4 (remove only)

ACDSee (version d’évaluation)

Adobe Photoshop CS

Adobe Reader 8.1.1 - Français

Adobe Shockwave Player

Apple Mobile Device Support

Apple Software Update

Archiveur WinRAR

ArcSoft Panorama Maker 3

BMW M3 Challenge

CloneCD

CloneDVD2

Disque de souvenirs HP

DVD Shrink 3.1.7

eMule

Everest Poker (Remove Only)

HijackThis 2.0.2

hp psc 1100 series

igLoader

InterActual Player

iTunes

LiveReg (Symantec Corporation)

LiveUpdate 1.80 (Symantec Corporation)

Ludiclub.com

Microsoft Office Professional Edition 2003

MSXML 4.0 SP2 Parser and SDK

Nero 6 Enterprise Edition

Nikon FotoShare

Nikon Message Center

Norton Ghost

Norton Speed Disk 6.0 pour Windows NT

Norton Utilities 2002 pour Windows

OpenMG Limited Patch 3.4-04-17-06-01

OpenMG Secure Module 3.4.01

Photo et imagerie HP 2.0 - All-in-One

Photo et imagerie HP 2.0 - All-in-One Pilote

Photo et imagerie HP 2.0 - hp psc 1100 series

PictureProject

PowerDVD

QuickTime

SAMSUNG CDMA Modem Driver Set

SAMSUNG Mobile Composite Device Software

Samsung Mobile phone USB driver Software

SAMSUNG Mobile USB Modem 1.0 Software

SAMSUNG Mobile USB Modem Software

Samsung PC Studio 3

Samsung PC Studio 3

Samsung PC Studio 3 USB Driver Installer

Samsung Samples Installer

SonicStage 2.0.06

SoundMAX

Theme Hospital

WebFldrs XP

Winamax Poker (remove only)

Winamp (remove only)

Windows Live Messenger

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files

 

05/12/2007 00:20 <REP> .

05/12/2007 00:20 <REP> ..

14/07/2005 07:08 <REP> 3ivx

14/07/2005 07:04 <REP> ACD Systems

11/08/2007 11:32 <REP> Adobe

14/07/2005 07:06 <REP> Ahead

14/07/2005 06:11 <REP> Analog Devices

01/10/2007 15:13 <REP> Apple Software Update

17/09/2007 22:02 <REP> ArcSoft

18/09/2007 19:50 <REP> Bullfrog

14/07/2005 05:46 <REP> ComPlus Applications

14/07/2005 07:12 <REP> CyberLink

14/07/2005 07:05 <REP> DVD Shrink

14/07/2005 07:28 <REP> Elaborate Bytes

27/11/2007 19:27 <REP> eMule

03/11/2007 00:23 <REP> Everest Poker

17/09/2007 22:03 <REP> Fichiers communs

01/10/2007 11:23 <REP> Google

03/01/2003 19:29 <REP> Hewlett-Packard

08/09/2007 08:28 <REP> InterActual

14/07/2005 05:49 <REP> Internet Explorer

01/10/2007 20:52 <REP> iPod

01/10/2007 20:52 <REP> iTunes

16/11/2007 23:08 <REP> Ludiclub

14/07/2005 08:52 <REP> Messenger

14/07/2005 05:50 <REP> microsoft frontpage

14/07/2005 07:41 <REP> Microsoft Office

14/07/2005 07:41 <REP> Microsoft Visual Studio

14/07/2005 07:41 <REP> Microsoft Works

14/07/2005 07:42 <REP> Microsoft.NET

14/07/2005 05:47 <REP> Movie Maker

14/07/2005 05:45 <REP> MSN

14/07/2005 05:46 <REP> MSN Gaming Zone

13/08/2007 20:47 <REP> MSN Messenger

18/09/2007 22:23 <REP> MSXML 4.0

14/07/2005 07:05 <REP> MUSK Codec Pack v3

14/07/2005 05:48 <REP> NetMeeting

17/09/2007 22:03 <REP> Nikon

25/11/2007 23:12 <REP> Norton Utilities

14/07/2005 05:46 <REP> Online Services

01/11/2007 16:40 <REP> OpenOffice.org 2.2

14/07/2005 05:48 <REP> Outlook Express

11/08/2007 11:28 <REP> PDF Editeur 2

13/08/2007 21:11 <REP> QuickTime

12/10/2007 21:14 <REP> Samsung

14/07/2005 05:48 <REP> Services en ligne

04/09/2007 07:35 <REP> Sony

04/09/2007 07:35 <REP> Sony Corporation

14/07/2005 06:06 <REP> Speed Disk

14/07/2005 07:30 <REP> Symantec

04/12/2007 21:41 <REP> Trend Micro

17/11/2007 23:09 <REP> WinamaxPoker

21/11/2007 14:44 <REP> Winamp

17/08/2007 21:07 <REP> WinAVI MP4 Converter

14/07/2005 05:50 <REP> Windows Media Player

14/07/2005 05:46 <REP> Windows NT

14/07/2005 06:04 <REP> WinRAR

14/07/2005 05:50 <REP> xerox

0 fichier(s) 0 octets

58 Rép(s) 7.299.293.184 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files\fichiers communs

 

17/09/2007 22:03 <REP> .

17/09/2007 22:03 <REP> ..

11/08/2007 11:32 <REP> Adobe

14/07/2005 07:06 <REP> Ahead

13/08/2007 21:09 <REP> Apple

14/07/2005 07:41 <REP> DESIGNER

03/01/2003 19:27 <REP> Hewlett-Packard

14/07/2005 07:09 <REP> InstallShield

13/08/2007 21:52 <REP> Microsoft Shared

14/07/2005 05:48 <REP> MSSoap

17/09/2007 22:03 <REP> muvee Technologies

18/09/2007 22:14 <REP> Nikon

14/07/2005 07:34 <REP> ODBC

21/08/2003 02:58 <REP> Real

14/07/2005 05:48 <REP> Services

04/09/2007 07:35 <REP> Sony Shared

14/07/2005 07:34 <REP> SpeechEngines

14/07/2005 07:30 <REP> Symantec Shared

14/07/2005 07:41 <REP> System

14/07/2005 07:10 <REP> Vbox

0 fichier(s) 0 octets

20 Rép(s) 7.299.293.184 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

14/07/2005 07:41 <REP> .

14/07/2005 07:41 <REP> ..

14/07/2005 07:41 <REP> 1033

14/07/2005 07:41 <REP> 1036

11/07/2003 09:15 1.292.872 MSONSEXT.DLL

15/07/2003 05:52 35.896 MSOSV.DLL

03/06/1999 11:09 122.937 MSOWS409.DLL

07/03/2001 06:00 127.033 MSOWS40c.DLL

11/07/2003 01:25 80.448 PKMWS.DLL

5 fichier(s) 1.659.186 octets

4 Rép(s) 7.299.293.184 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\

 

21/11/2007 14:44 27.947 cgqftqvj.exe

21/11/2007 14:44 58.368 dbtmuceo.exe

21/11/2007 14:44 20.992 jstnq.exe

3 fichier(s) 107.307 octets

0 Rép(s) 7.299.289.088 octets libres

 

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\

 

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\aspiinst.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS16.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\E.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\GUEST.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\MSCDEX.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\Net.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\OHCI.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\PROTMAN.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\UHCI.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe

c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\74OUVM6U\iTunesSetupAdmin[1].exe

c:\Documents and Settings\xcfgdxfgxf\Application Data\Nikon\Message Center\DOWNLOAD_LOG\12397\S-P2____-164WU-EURFR.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\HJTInstall.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsia.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsiw.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\setup.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\AUTOSET.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SOUND\SETSOUND.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\HOSPITAL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\WINMAIN.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MSSW95.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\SETSOUND.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MIDI\MIDIFORM.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\INSTDX.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DDHELP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DXSETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DRVSNEC\DISPLAY\BIN\NECGMMUT.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\141353.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\bye85.tmp\Disk1\setup.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\Nikon\MessageCenter\mca_setup_10.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\_ISDel.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\Setup.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\Via4in1.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\preupd.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\sched.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\setup.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\update.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\wsctool.exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\_ISTMP1.DIR\_ISTMP0.DIR\IsUninst.Exe

c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temporary Internet Files\Content.IE5\SJX3UURH\HJTInstall[1].exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_YDXTGXDX-D945ED.tar.gz a l'adresse http://upload.malekal.com

 

Je reste en attente.

Bonne soirée, nuit ou journée.

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Bonjour,

 

Fais ceci stp :

-- Ouvre le poste de travail

-- Clic sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte

 

Vas sur http://upload.malekal.com

clic sur parcourir et sélectionne le fichier : C:\WINDOWS\System32\kb1ss1p.sys (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> b1ss1p.sys )

Ne touche pas au champs "Choisir le dossier de destination"

Clic sur envoyer fichier

 

Recommence pour envoyer les fichiers suivants :

C:\cgqftqvj.exe

C:\dbtmuceo.exe

C:\jstnq.exe

C:\WINDOWS\System32\kb1ss1p.dll

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour neosapri, salut Malekal_morte ! :P

 

Ton système est très infecté !!!

 

Il y a plusieurs rootkits méchants...

Même si nous parvenons à enlever tous les malware's présents sur ton système, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite...

 

--> Les logiciels de p2p (eMule) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

--> Les programmes de Poker (Everest Poker) viennent souvent avec et par des malware's...

 

--> Je ne vois aucun antivirus fonctionner sur cette machine ; de nos jours, cela devient suicidaire, surtout si tu utilises des logiciels de p2p et que ton PC n'est pas à jour !

 

--> Nous règlerons ces deux derniers points en fin de procédure !

 

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

 

1) Suis la procédure indiquée par Malekal_morte...

 

2) Télécharge rustbfix de ejvindh

 

Lien miroir

  • Enregistre le programme sur ton bureau
  • Double clique sur rustbfix.exe pour le lancer
    --> Si une l'infection est détectée, le programme t'indiquera qu'il est nécessaire de redémarrer la machine. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient nécessaires. Tout est automatique !
  • Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt et C:\rustbfix\pelog.txt).
  • Copie / colle le contenu de ces deux rapports dans ton prochain post

 

3) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

 

4) Démarre en mode sans échec sur ta session comme indiqué ici

  • Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.cmd pour lancer le script sd1.JPG
  • Appuie sur Y pour démarrer le nettoyage
  • SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  • Appuie donc sur une touche pour redémarrer la machine
  • Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  • Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  • Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  • Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

 

5) Télécharge Combofix de sUBs

  • Ferme toutes les fenêtres
  • Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
  • Appuie sur Y pour lancer le scan
  • A la fin du scan (cela peut prendre du temps), un rapport sera créé
  • Poste ce rapport dans ton / tes prochain(s) message(s)

J'attends donc les rapports suivants :

  • C:\avenger.txt
  • C:\rustbfix\pelog.txt
  • SDFix
  • ComboFix

Bon travail à toi !

:P

neosapri Member

neosapri

Posté(e)
  • Auteur
Posté(e)

Pas de doc "Avenger"... mais un Avenger.exe

Concernant les executables poker, ils ne sont pas venus à travers des malwares. Winamax et Everestpoker sont des sites officiels de poker...

Ci-dessous, les trois rapports.

 

 

Rapport SDFix

 

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************

jeu. 06/12/2007 0:10:54,01

 

No Rustock.b-rootkits found

 

******************************* End of Logfile ********************************

 

 

Rapport SDFix

 

 

SDFix: Version 1.117

 

Run by xcfgdxfgxf on jeu. 06/12/2007 at 00:28

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

Name:

kcp

 

Path:

\??\C:\WINDOWS\system32\drivers\kcp.sys

 

kcp - Deleted

 

 

 

Infected Winlogon.exe Found!

 

Winlogon File Locations:

 

"C:\WINDOWS\system32\winlogon.exe" 506880 03/12/2007 22:17

"C:\WINDOWS\system32\dllcache\winlogon.exe" 506880 03/12/2007 22:17

 

Modified Files Are Listed Below:

 

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\dllcache\winlogon.exe

 

Note: SDFix Does Not Repair This File!

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

 

 

 

Rapport Combofix

 

ComboFix 07-12-02.6 - xcfgdxfgxf 2007-12-06 0:35:48.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.77 [GMT 1:00]

Running from: C:\Documents and Settings\xcfgdxfgxf\Bureau\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\6_exception.nls

C:\WINDOWS\system32\drivers\runtime2.sys

C:\wsusupd.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_RUNTIME

-------\LEGACY_RUNTIME2

-------\poof

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-05 to 2007-12-05 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-06 00:27 . 2007-12-06 00:27 <REP> d-------- C:\WINDOWS\ERUNT

2007-12-06 00:20 . 2007-12-06 00:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2007-12-06 00:20 . 2007-12-06 00:20 1,409 --a------ C:\WINDOWS\QTFont.for

2007-12-06 00:03 . 2007-12-06 00:11 <REP> d-------- C:\Rustbfix

2007-12-05 00:45 . 2007-12-05 00:45 <REP> d--h----- C:\WINDOWS\$hf_mig$

2007-12-05 00:45 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2007-12-05 00:35 . 2007-12-05 00:35 1,774,110 --a------ C:\upload_moi_YDXTGXDX-D945ED.tar.gz

2007-12-04 21:41 . 2007-12-04 21:41 <REP> d-------- C:\Program Files\Trend Micro

2007-12-03 22:24 . 2007-12-04 19:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-27 00:17 . 2007-11-27 00:17 <REP> d-------- C:\Downloads

2007-11-27 00:17 . 2007-11-27 23:44 <REP> d-------- C:\Documents and Settings\xcfgdxfgxf\Application Data\GetRightToGo

2007-11-21 18:17 . 2007-11-21 18:17 153 --a------ C:\WINDOWS\system32\delFSF.bat

2007-11-21 14:44 . 2007-11-21 14:44 58,368 --a------ C:\dbtmuceo.exe

2007-11-21 14:44 . 2007-11-21 14:44 53,248 --a------ C:\WINDOWS\system32\oleauth32.dll

2007-11-21 14:44 . 2007-11-21 14:44 53,248 --a------ C:\WINDOWS\system32\mstscex.dll

2007-11-21 14:44 . 2007-11-21 14:44 27,947 --a------ C:\cgqftqvj.exe

2007-11-21 14:44 . 2007-11-21 14:44 20,992 --a------ C:\jstnq.exe

2007-11-21 14:44 . 2007-11-21 14:45 2 --a------ C:\1478739929

2007-11-16 23:09 . 2007-11-16 23:13 39 --a------ C:\WINDOWS\BELOTEXP.INI

2007-11-16 23:06 . 2007-11-16 23:08 <REP> d-------- C:\Program Files\Ludiclub

2007-11-16 23:06 . 2004-03-08 23:00 260,880 --a------ C:\WINDOWS\system32\MSFLXGRD.OCX

2007-11-16 23:06 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX

2007-11-16 23:06 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll

2007-11-16 23:06 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX

2007-11-16 23:06 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX

2007-11-16 23:06 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx

2007-11-16 23:06 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE

2007-11-16 23:06 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll

2007-11-05 19:51 . 2007-11-17 23:09 <REP> d-------- C:\Program Files\WinamaxPoker

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-04 23:52 --------- d-----w C:\Program Files\Norton Utilities

2007-11-27 18:27 --------- d-----w C:\Program Files\eMule

2007-11-21 13:44 --------- d-----w C:\Program Files\Winamp

2007-11-10 15:15 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT

2007-11-02 23:23 --------- d-----w C:\Program Files\Everest Poker

2007-11-01 15:40 --------- d-----w C:\Program Files\OpenOffice.org 2.2

2007-11-01 15:39 --------- d-----w C:\Documents and Settings\xcfgdxfgxf\Application Data\OpenOffice.org2

2007-10-12 20:32 --------- d-----w C:\Documents and Settings\xcfgdxfgxf\Application Data\Samsung

2007-10-12 20:22 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-10-12 20:14 --------- d-----w C:\Program Files\Samsung

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 07:57]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24]

"CloneCDElbyCDFL"="C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 13:09]

"GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-19 10:58]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{ED0ACB58-556F-21DA-DDFE-6D20F3F61111}"= C:\WINDOWS\system32\kb1ss1p.dll [2007-11-02 15:11 40960]

 

R1 GhPciScan;GhostPciScanner;\??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys

R3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS

S1 kcp;kcp;\??\C:\WINDOWS\system32\drivers\kcp.sys

S3 USBAAPL;Apple Mobile USB Driver;C:\WINDOWS\system32\Drivers\usbaapl.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-10-15 19:48:50 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1041618681.job"

.

**************************************************************************

 

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-06 00:38:07

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-12-06 0:38:56 - machine was rebooted

.

--- E O F ---

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour neosapri,

 

*** Tu as fait du bon travail ! *** :P

 

 

Pas de doc "Avenger"... mais un Avenger.exe

--> C'est normal, puisque le fix de ejvindh n'a rien trouvé...

 

 

Winamax et Everestpoker sont des sites officiels de poker...

--> Oui, je le sais ; il n'empêche que ce sont des programmes reconnus à risque par les plus grands experts et qu'ils sont susceptibles de t'amener d'autres infections...

 

 

Il reste quelques fichiers à supprimer, je te rédigerai un petit script personnalisé en avant-soirée, en attendant, j'aimerais que tu fasses ceci stp :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

# Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.gif
  • Recherche le fichier suivant : C:\WINDOWS\System32\xpdx.sys
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

Passe une excellente journée !!

:P

neosapri Member

neosapri

Posté(e)
  • Auteur
Posté(e)

Salut...

 

pas de xpdx.sys sur mes disques durs.

 

J'ai refait un Diaghelp... (voir ci dessous) et le xpdx.sys n'y apparaît plus...

C'est peut-être un bon signe :P

 

Je reste en attente de tes instructions

 

DiagHelp version v1.4 - http://www.malekal.com

excute le jeu. 06/12/2007 à 23:53:04,25

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->6/12/2007 23:53:01

C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->6/12/2007 23:52:34

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->6/12/2007 23:43:24

C:\WINDOWS\prefetch\HPOSDN08.EXE-24AFFEC2.pf -->6/12/2007 23:42:34

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->6/12/2007 23:42:19

C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->6/12/2007 23:36:50

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->6/12/2007 23:36:49

C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->6/12/2007 23:36:23

C:\WINDOWS\prefetch\GZIP.EXE-116653D3.pf -->6/12/2007 23:36:18

C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->6/12/2007 23:36:06

 

C:\WINDOWS\System32\drivers\usbaapl.sys -->4/09/2007 18:04:34

C:\WINDOWS\System32\drivers\ntfs.sys -->9/02/2007 12:10:35

C:\WINDOWS\System32\drivers\nwrdr.sys -->13/10/2006 11:23:15

C:\WINDOWS\System32\drivers\GEARAspiWDM.sys -->19/09/2006 13:44:04

C:\WINDOWS\System32\drivers\fltmgr.sys -->21/08/2006 10:14:58

C:\WINDOWS\System32\drivers\tcpip6.sys -->16/08/2006 10:37:30

C:\WINDOWS\System32\drivers\srv.sys -->14/08/2006 11:34:41

 

C:\WINDOWS\System32\perfh00C.dat -->6/12/2007 13:35:11

C:\WINDOWS\System32\perfh009.dat -->6/12/2007 13:35:11

C:\WINDOWS\System32\perfc00C.dat -->6/12/2007 13:35:11

C:\WINDOWS\System32\perfc009.dat -->6/12/2007 13:35:11

C:\WINDOWS\System32\PerfStringBackup.INI -->6/12/2007 13:35:10

C:\WINDOWS\System32\FNTCACHE.DAT -->6/12/2007 13:33:33

C:\WINDOWS\System32\TZLog.log -->6/12/2007 1:06:25

C:\WINDOWS\System32\winlogon.exe -->3/12/2007 22:17:42

C:\WINDOWS\System32\wpa.dbl -->3/12/2007 13:33:37

C:\WINDOWS\System32\delFSF.bat -->21/11/2007 18:17:15

C:\WINDOWS\System32\mstscex.dll -->21/11/2007 14:44:36

C:\WINDOWS\System32\oleauth32.dll -->21/11/2007 14:44:34

C:\WINDOWS\System32\kb1ss1p.dll -->2/11/2007 15:11:24

C:\WINDOWS\System32\kb1ss1p.sys -->2/11/2007 15:11:21

C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:35:14

C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:56:24

C:\WINDOWS\System32\rsbo.exe -->24/10/2007 9:42:09

C:\WINDOWS\System32\wininet.dll -->22/08/2007 14:13:08

C:\WINDOWS\System32\urlmon.dll -->22/08/2007 14:13:08

C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 14:13:08

C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 14:13:08

C:\WINDOWS\System32\pngfilt.dll -->22/08/2007 14:13:07

C:\WINDOWS\System32\mstime.dll -->22/08/2007 14:13:07

C:\WINDOWS\System32\msrating.dll -->22/08/2007 14:13:07

C:\WINDOWS\System32\mshtmled.dll -->22/08/2007 14:13:07

 

C:\WINDOWS\WindowsUpdate.log -->6/12/2007 23:36:29

C:\WINDOWS\winamp.ini -->6/12/2007 17:57:25

C:\WINDOWS.log -->6/12/2007 13:34:02

C:\WINDOWS\wiaservc.log -->6/12/2007 13:33:59

C:\WINDOWS\wiadebug.log -->6/12/2007 13:33:58

C:\WINDOWS\spupdsvc.log -->6/12/2007 13:33:58

C:\WINDOWS\QTFont.qfn -->6/12/2007 13:33:53

C:\WINDOWS\bootstat.dat -->6/12/2007 13:33:39

C:\WINDOWS\SchedLgU.Txt -->6/12/2007 1:13:01

C:\WINDOWS\tsoc.log -->6/12/2007 1:12:39

C:\WINDOWS\tabletoc.log -->6/12/2007 1:12:39

C:\WINDOWS\ocmsn.log -->6/12/2007 1:12:39

C:\WINDOWS\ocgen.log -->6/12/2007 1:12:39

C:\WINDOWS\ntdtcsetup.log -->6/12/2007 1:12:39

C:\WINDOWS\netfxocm.log -->6/12/2007 1:12:39

 

winlogon.exe

Verified: Unsigned

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1420

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x10000000 0x1b000 C:\WINDOWS\system32\kb1ss1p.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll

0x02310000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

0x02370000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x01570000 0x2b000 C:\Program Files\WinRAR\rarext.dll

0x016c0000 0x1b000 15.00.0000.0020 C:\Program Files\Norton Utilities\NDRVEX.DLL

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x02950000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x75be0000 0x6e000 5.06.0000.8831 C:\WINDOWS\system32\jscript.dll

0x037b0000 0x21c000 9.00.0000.3265 C:\WINDOWS\system32\wmvcore.dll

0x4b410000 0x29000 9.00.0000.3250 C:\WINDOWS\system32\wmidx.dll

0x59d10000 0x3c000 9.00.0000.3250 C:\WINDOWS\system32\WMASF.DLL

0x039d0000 0x4f000 9.00.0000.3250 C:\WINDOWS\system32\DRMClien.DLL

0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll

0x00a30000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

0x41f00000 0x7000 1.00.0000.3845 C:\WINDOWS\system32\asfsipc.dll

0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL

0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll

0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL

0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 632

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x10000000 0xe000 C:\WINDOWS\system32\mstscex.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\system

 

14/08/2002 14:03 4.672 WOWPOST.EXE

1 fichier(s) 4.672 octets

0 Rép(s) 5.693.743.104 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\system32

 

03/08/2004 23:54 6.144 csrss.exe

1 fichier(s) 6.144 octets

0 Rép(s) 5.693.743.104 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

10/11/2007 16:45 <REP> .

10/11/2007 16:45 <REP> ..

14/07/2005 08:54 65 desktop.ini

23/03/2007 12:17 1.292 erma.inf

12/09/2007 14:14 378 ImageUploader4.inf

12/09/2007 14:16 2.635.312 ImageUploader4.ocx

14/02/2007 15:30 144 setup.inf

11/06/2007 12:21 5.021 swflash.inf

6 fichier(s) 2.642.212 octets

 

Total des fichiers listés :

6 fichier(s) 2.642.212 octets

2 Rép(s) 5.693.739.008 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

 

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-06 23:53:35

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

208 - AppleMobileDevi

252 - IEXPLORE.EXE

376 - MDM.EXE

404 - NPROTECT.EXE

608 - csrss.exe

632 - winlogon.exe

680 - services.exe

692 - lsass.exe

860 - svchost.exe

928 - svchost.exe

1020 - svchost.exe

1116 - svchost.exe

1420 - explorer.exe

1832 - iTunesHelper.ex

1848 - ctfmon.exe

1900 - NkbMonitor.exe

2124 - alg.exe

2320 - iPodService.exe

2496 - IEXPLORE.EXE

3016 - cmd.exe

3396 - services.exe

 

Total number of processes = 22

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F9F32000 - \WINDOWS\system32\KDCOM.DLL

F9E42000 - \WINDOWS\system32\BOOTVID.dll

F99E2000 - ACPI.sys

F9F34000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F99D1000 - pci.sys

F9A32000 - isapnp.sys

F9F36000 - viaide.sys

F9CB2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F9A42000 - MountMgr.sys

F99B2000 - ftdisk.sys

F9F38000 - dmload.sys

F998C000 - dmio.sys

F9CBA000 - PartMgr.sys

F9A52000 - VolSnap.sys

F9974000 - atapi.sys

F9A62000 - disk.sys

F9A72000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F9954000 - fltMgr.sys

F9942000 - sr.sys

F992B000 - KSecDD.sys

F989E000 - Ntfs.sys

F9871000 - NDIS.sys

F9A82000 - uagp35.sys

F9CC2000 - viaagp1.sys

F9856000 - Mup.sys

F9C12000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F94CD000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F94B9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F9D4A000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F9496000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F9D52000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F9C22000 - \SystemRoot\system32\DRIVERS\imapi.sys

F9C32000 - \SystemRoot\System32\Drivers\AFS2K.SYS

FA117000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

F9F5A000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

F9C42000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F9C52000 - \SystemRoot\system32\DRIVERS\redbook.sys

F9473000 - \SystemRoot\system32\DRIVERS\ks.sys

F9D5A000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys

F93E5000 - \SystemRoot\system32\drivers\smwdm.sys

F93C1000 - \SystemRoot\system32\drivers\portcls.sys

F9C62000 - \SystemRoot\system32\drivers\drmk.sys

F9F5C000 - \SystemRoot\system32\drivers\aeaudio.sys

F9C72000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys

F9D62000 - \SystemRoot\system32\DRIVERS\fdc.sys

F93B0000 - \SystemRoot\system32\DRIVERS\serial.sys

F9EE2000 - \SystemRoot\system32\DRIVERS\serenum.sys

F939C000 - \SystemRoot\system32\DRIVERS\parport.sys

F9C82000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F9D6A000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F9D72000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F9EE6000 - \SystemRoot\system32\DRIVERS\gameenum.sys

FA120000 - \SystemRoot\system32\DRIVERS\audstub.sys

F9C92000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F9EEA000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F9385000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F9CA2000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F9AB2000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F9D7A000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F9374000 - \SystemRoot\system32\DRIVERS\psched.sys

F9AC2000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F9D82000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F9D8A000 - \SystemRoot\system32\DRIVERS\raspti.sys

F9343000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F9AD2000 - \SystemRoot\system32\DRIVERS\termdd.sys

F9F5E000 - \SystemRoot\system32\DRIVERS\swenum.sys

F926F000 - \SystemRoot\system32\DRIVERS\update.sys

F9F06000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F9B02000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F9B12000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F9F60000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F9D92000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F9F62000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

FA041000 - \SystemRoot\System32\Drivers\Null.SYS

F9F64000 - \SystemRoot\System32\Drivers\Beep.SYS

F9DA2000 - \??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys

F9DAA000 - \SystemRoot\System32\drivers\vga.sys

F9F66000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F9F68000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F9DB2000 - \SystemRoot\System32\Drivers\Msfs.SYS

F9DBA000 - \SystemRoot\System32\Drivers\Npfs.SYS

F95B4000 - \SystemRoot\system32\DRIVERS\rasacd.sys

B6FA5000 - \SystemRoot\system32\DRIVERS\ipsec.sys

B6F4D000 - \SystemRoot\system32\DRIVERS\tcpip.sys

B6F25000 - \SystemRoot\system32\DRIVERS\netbt.sys

B6F03000 - \SystemRoot\System32\drivers\afd.sys

F9B42000 - \SystemRoot\system32\DRIVERS\netbios.sys

F9DC2000 - \SystemRoot\System32\Drivers\StarOpen.SYS

B6ED8000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B6EB7000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F9B52000 - \SystemRoot\system32\DRIVERS\wanarp.sys

B6E48000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F9B62000 - \SystemRoot\System32\Drivers\Fips.SYS

F9BC2000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B6D90000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F9FCC000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F9247000 - \SystemRoot\System32\drivers\Dxapi.sys

F9E02000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

FA175000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA0B000 - \SystemRoot\System32\ati2cqag.dll

BFA43000 - \SystemRoot\System32\ati3duag.dll

BFC11000 - \SystemRoot\System32\ativvaxx.dll

B6FE4000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B69BB000 - \SystemRoot\system32\drivers\wdmaud.sys

B6B50000 - \SystemRoot\system32\drivers\sysaudio.sys

B6708000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

F9F3C000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B6AEC000 - \SystemRoot\System32\Drivers\Aspi32.SYS

B67F9000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

B6576000 - \SystemRoot\system32\DRIVERS\srv.sys

BFFA0000 - \SystemRoot\System32\ATMFD.DLL

B6536000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS

B631E000 - \??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS

B623D000 - \SystemRoot\System32\Drivers\HTTP.sys

B5F47000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F9E12000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

B69D0000 - \SystemRoot\system32\DRIVERS\usbscan.sys

F9E3A000 - \SystemRoot\system32\DRIVERS\usbprint.sys

F9CF2000 - \SystemRoot\system32\DRIVERS\HPZius12.sys

B64D6000 - \SystemRoot\system32\DRIVERS\HPZid412.sys

B609D000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys

B6436000 - \SystemRoot\system32\DRIVERS\ssm_bus.sys

F9FA6000 - \SystemRoot\system32\DRIVERS\ssm_wh.sys

B5E67000 - \SystemRoot\system32\DRIVERS\ssm_mdm.sys

F9FAA000 - \SystemRoot\system32\DRIVERS\ssm_cm.sys

F9E22000 - \SystemRoot\System32\Drivers\Modem.SYS

F9FA4000 - \SystemRoot\system32\DRIVERS\ssm_mdfl.sys

FA169000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

B5E3C000 - \SystemRoot\system32\drivers\kmixer.sys

 

Total number of drivers = 134

 

Liste des programmes installes

 

-(/'|'\)- DivX 5.0.5 Pro Video Codec -(/'|'\)-

-(/'|'\)- DivX Codec 3.11a Codec -(/'|'\)-

3ivx D4 4.0.4 (remove only)

ACDSee (version d’évaluation)

Adobe Photoshop CS

Adobe Reader 8.1.1 - Français

Adobe Shockwave Player

Apple Mobile Device Support

Apple Software Update

Archiveur WinRAR

ArcSoft Panorama Maker 3

BMW M3 Challenge

CloneCD

CloneDVD2

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Disque de souvenirs HP

DVD Shrink 3.1.7

eMule

Everest Poker (Remove Only)

HijackThis 2.0.2

hp psc 1100 series

igLoader

InterActual Player

iTunes

LiveReg (Symantec Corporation)

LiveUpdate 1.80 (Symantec Corporation)

Ludiclub.com

Microsoft Office Professional Edition 2003

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938127)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB939653)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour de sécurité pour Windows XP (KB943460)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB938828)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 Parser and SDK

Nero 6 Enterprise Edition

Nikon FotoShare

Nikon Message Center

Norton Ghost

Norton Speed Disk 6.0 pour Windows NT

Norton Utilities 2002 pour Windows

OpenMG Limited Patch 3.4-04-17-06-01

OpenMG Secure Module 3.4.01

Photo et imagerie HP 2.0 - All-in-One

Photo et imagerie HP 2.0 - All-in-One Pilote

Photo et imagerie HP 2.0 - hp psc 1100 series

PictureProject

PowerDVD

QuickTime

SAMSUNG CDMA Modem Driver Set

SAMSUNG Mobile Composite Device Software

Samsung Mobile phone USB driver Software

SAMSUNG Mobile USB Modem 1.0 Software

SAMSUNG Mobile USB Modem Software

Samsung PC Studio 3

Samsung PC Studio 3

Samsung PC Studio 3 USB Driver Installer

Samsung Samples Installer

SonicStage 2.0.06

SoundMAX

Theme Hospital

WebFldrs XP

Winamax Poker (remove only)

Winamp (remove only)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files

 

05/12/2007 00:20 <REP> .

05/12/2007 00:20 <REP> ..

14/07/2005 07:08 <REP> 3ivx

14/07/2005 07:04 <REP> ACD Systems

11/08/2007 11:32 <REP> Adobe

14/07/2005 07:06 <REP> Ahead

14/07/2005 06:11 <REP> Analog Devices

01/10/2007 15:13 <REP> Apple Software Update

17/09/2007 22:02 <REP> ArcSoft

18/09/2007 19:50 <REP> Bullfrog

14/07/2005 05:46 <REP> ComPlus Applications

14/07/2005 07:12 <REP> CyberLink

14/07/2005 07:05 <REP> DVD Shrink

14/07/2005 07:28 <REP> Elaborate Bytes

06/12/2007 15:06 <REP> eMule

03/11/2007 00:23 <REP> Everest Poker

17/09/2007 22:03 <REP> Fichiers communs

01/10/2007 11:23 <REP> Google

03/01/2003 19:29 <REP> Hewlett-Packard

08/09/2007 08:28 <REP> InterActual

06/12/2007 01:10 <REP> Internet Explorer

01/10/2007 20:52 <REP> iPod

01/10/2007 20:52 <REP> iTunes

16/11/2007 23:08 <REP> Ludiclub

06/12/2007 01:09 <REP> Messenger

14/07/2005 05:50 <REP> microsoft frontpage

14/07/2005 07:41 <REP> Microsoft Office

14/07/2005 07:41 <REP> Microsoft Visual Studio

14/07/2005 07:41 <REP> Microsoft Works

14/07/2005 07:42 <REP> Microsoft.NET

14/07/2005 05:47 <REP> Movie Maker

14/07/2005 05:45 <REP> MSN

14/07/2005 05:46 <REP> MSN Gaming Zone

13/08/2007 20:47 <REP> MSN Messenger

18/09/2007 22:23 <REP> MSXML 4.0

14/07/2005 07:05 <REP> MUSK Codec Pack v3

14/07/2005 05:48 <REP> NetMeeting

17/09/2007 22:03 <REP> Nikon

05/12/2007 00:52 <REP> Norton Utilities

14/07/2005 05:46 <REP> Online Services

01/11/2007 16:40 <REP> OpenOffice.org 2.2

06/12/2007 01:08 <REP> Outlook Express

11/08/2007 11:28 <REP> PDF Editeur 2

13/08/2007 21:11 <REP> QuickTime

12/10/2007 21:14 <REP> Samsung

14/07/2005 05:48 <REP> Services en ligne

04/09/2007 07:35 <REP> Sony

04/09/2007 07:35 <REP> Sony Corporation

14/07/2005 06:06 <REP> Speed Disk

14/07/2005 07:30 <REP> Symantec

04/12/2007 21:41 <REP> Trend Micro

17/11/2007 23:09 <REP> WinamaxPoker

21/11/2007 14:44 <REP> Winamp

17/08/2007 21:07 <REP> WinAVI MP4 Converter

06/12/2007 01:08 <REP> Windows Media Player

14/07/2005 05:46 <REP> Windows NT

14/07/2005 06:04 <REP> WinRAR

14/07/2005 05:50 <REP> xerox

0 fichier(s) 0 octets

58 Rép(s) 5.638.524.928 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files\fichiers communs

 

17/09/2007 22:03 <REP> .

17/09/2007 22:03 <REP> ..

11/08/2007 11:32 <REP> Adobe

14/07/2005 07:06 <REP> Ahead

13/08/2007 21:09 <REP> Apple

14/07/2005 07:41 <REP> DESIGNER

03/01/2003 19:27 <REP> Hewlett-Packard

14/07/2005 07:09 <REP> InstallShield

13/08/2007 21:52 <REP> Microsoft Shared

14/07/2005 05:48 <REP> MSSoap

17/09/2007 22:03 <REP> muvee Technologies

18/09/2007 22:14 <REP> Nikon

14/07/2005 07:34 <REP> ODBC

21/08/2003 02:58 <REP> Real

14/07/2005 05:48 <REP> Services

04/09/2007 07:35 <REP> Sony Shared

14/07/2005 07:34 <REP> SpeechEngines

14/07/2005 07:30 <REP> Symantec Shared

06/12/2007 01:08 <REP> System

14/07/2005 07:10 <REP> Vbox

0 fichier(s) 0 octets

20 Rép(s) 5.638.524.928 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

14/07/2005 07:41 <REP> .

14/07/2005 07:41 <REP> ..

14/07/2005 07:41 <REP> 1033

14/07/2005 07:41 <REP> 1036

11/07/2003 09:15 1.292.872 MSONSEXT.DLL

15/07/2003 05:52 35.896 MSOSV.DLL

03/06/1999 11:09 122.937 MSOWS409.DLL

07/03/2001 06:00 127.033 MSOWS40c.DLL

11/07/2003 01:25 80.448 PKMWS.DLL

5 fichier(s) 1.659.186 octets

4 Rép(s) 5.638.524.928 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\

 

21/11/2007 14:44 27.947 cgqftqvj.exe

21/11/2007 14:44 58.368 dbtmuceo.exe

21/11/2007 14:44 20.992 jstnq.exe

3 fichier(s) 107.307 octets

0 Rép(s) 5.638.524.928 octets libres

 

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5823-C7D9

 

Répertoire de C:\

 

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\aspiinst.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS16.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\E.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\GUEST.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\MSCDEX.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\Net.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\OHCI.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\PROTMAN.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\UHCI.EXE

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe

c:\Documents and Settings\xcfgdxfgxf\Application Data\Nikon\Message Center\DOWNLOAD_LOG\12397\S-P2____-164WU-EURFR.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\ComboFix.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\HJTInstall.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\rustbfix.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\SDFix.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsia.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsiw.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\setup.exe

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\AUTOSET.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SOUND\SETSOUND.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\HOSPITAL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\WINMAIN.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\DOS4GW.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MSSW95.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\SETSOUND.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MIDI\MIDIFORM.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\INSTDX.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DDHELP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DXSETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DRVSNEC\DISPLAY\BIN\NECGMMUT.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\UNINST.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\_ISDEL.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\SETUP.EXE

c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\UNINST.EXE

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_YDXTGXDX-D945ED.tar.gz a l'adresse http://upload.malekal.com

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir neosapri,

 

*** Nous avançons bien, en effet !!! *** :P

 

le xpdx.sys n'y apparaît plus...

--> C'est étrange, mais cela peut expliquer pourquoi Rustbfix n'a rien trouvé !!!

 

1) Exécute minutieusement cette procédure personnalisée avec ComboFix :

  • Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
    Driver::
    KCP
     
    File::
    C:\cgqftqvj.exe
    C:\dbtmuceo.exe
    C:\jstnq.exe
    C:\WINDOWS\system32\kb1ss1p.dll
    C:\WINDOWS\System32\kb1ss1p.sys
    C:\WINDOWS\system32\drivers\kcp.sys
    c:\Documents and Settings\xcfgdxfgxf\Bureau\rustbfix.exe
     
    Registry::
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{ED0ACB58-556F-21DA-DDFE-6D20F3F61111}"=-
     
  • Enregistre-le en lui donnant le nom CFScript
  • Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
    CFScript.gif
  • Poste le résultat et un nouveau rapport HijackThis !

 

2) Suis la procédure indiquée sur cette page avec la commande sfc /scannow (n'oublie pas l'espace !) afin de réparer le fichier Winlogon patché !

 

 

3) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

  • Windows Temp
  • Current User Temp
  • All Users Temp
  • Cookies
  • Temporary Internet Files
  • Prefetch
  • Java Cache
  • Recycle Bin

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Poste donc les rapports suivants :

  • CFScript
  • HijackThis
  • Kaspersky en ligne

Bonne procédure !!! :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...