Problème svchost.exe + copy.exe [résolu]

[croissantchaud92]

Bonsoir,

 

Tout d'abord, je tiens a signaler que j'ai efectué une recherche sur le forum afin de savoir s'il y avait des thread traitant du meme probleme que moi. J'en ai trouvé un mais il y a quelques différences : http://forum.zebulon.fr/lofiversion/index.php/t121965.html

Tout d'abord, mon PC n'est actuellement pas au ralenti (il l'a été avant que je réinstalle windows), j'ai successivement 2 messages d'erreur pour svchost.exe ("introuvable dans C:\" puis "windows n'a pas pu l'éxecuter") et j'ai le message d'erreur de copy.exe lorsque je doucle clique sur une partition.

 

Par ailleurs, je suis allé dans msconfig afin de supprimer le message d'erreur que générait svchost au démarrage. Alors oui le message d'erreur n'est plus là mais ca ne veut pas dire que le probleme est réglé loin de là.. Je me souviens pas qui m'a filé cette soluce mais faudrait que je lui touche un mot ! :/

 

En parcourant le net, j'ai trouvé un lien avec LA (?) solution pour éradiquer copy.exe, temp2.exe et consort. Voici le site qui propose cette solution miracle : http://www.securitystronghold.com/solution...open-drive.html

Ayant fait assez d'aneries jusqu'a maintenant, je ne l'ai pas testé et aimerait votre avis sur ce programme. L'avez vous essayé, marche t il, y'a t il des contreparties apres suppression des objets.. ?

 

Dois je effectuer les indications que Gof préconise (ici : http://forum.zebulon.fr/lofiversion/index.php/t121965.html ), utiliser True Sword ou faire autre chose ?

 

Merci de votre aide

 

Cordialement,

croissantchaud92

Modifié le 19 janvier 2008 par croissantchaud92

[Gof]

Bonjour croissantchaud92

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Il vaut mieux éviter en effet de récupérer des procédures postées pour d'autres. Parfois cela suffit en effet, d'autres fois la procédure est spécifiquement adapté au système de l'internaute. Dans le doute, il vaut mieux éviter.

 

Je me souviens pas qui m'a filé cette soluce mais faudrait que je lui touche un mot ! :/

Oui, cela ne résoud en rien le souci ; cela ne fait que le masquer. Comme la poussière sous un tapis

 

Tu es infecté par une infection se propageant par supports amovibles. C'est à dire via les clés USB, les lecteurs externes, lecteurs MP3, cartes flash, etc. Il te faut donc tous les désinfecter en même temps, sinon tu risques de propager à nouveau l'infection sur ton système. Tu peux lire ce sujet pour voir de quoi il s'agit et comprendre leur propagation.

 

Au travail !

 

Branche donc tous tes supports externes, tes clés, etc. Allume les si nécessaire (dans le cas des lecteurs externes). Annule l'exécution automatique ou l'ouverture des fenêtres s'il y en a.

 

 

Télécharge Flashdisinfector de sUBs sur ton bureau.

• Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
  
• Double-clique sur Flash_Disinfector.exe.
  
• Cela sera très rapide, un message t'informera de la fin du fix.
  Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  
• Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.
  

 

Puis génère un rapport HijackThis comme ceci :

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

[croissantchaud92]

Le probleme de copy.exe est fini, merci a toi

 

Voici le rapport de Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:14:20, on 15/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Avast ed familiale\aswUpdSv.exe

D:\Program Files\Avast ed familiale\ashServ.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

D:\PROGRA~1\AVASTE~1\ashDisp.exe

D:\WINDOWS\system32\ctfmon.exe

D:\PROGRA~1\Wanadoo\TaskBarIcon.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

D:\PROGRA~1\Wanadoo\ComComp.exe

D:\PROGRA~1\Wanadoo\Toaster.exe

D:\PROGRA~1\Wanadoo\Inactivity.exe

D:\PROGRA~1\Wanadoo\PollingModule.exe

D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

D:\WINDOWS\System32\FTRTSVC.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Avast ed familiale\ashMaiSv.exe

D:\Program Files\Avast ed familiale\ashWebSv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\PROGRA~1\Wanadoo\Watch.exe

D:\Program Files\MSN Messenger\usnsvc.exe

D:\WINDOWS\explorer.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTE~1\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast ed familiale\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast ed familiale\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4275 bytes

 

 

 

Merci de votre aide

Modifié le 15 janvier 2008 par croissantchaud92

[Gof]

Bonjour croissantchaud92

 

Laisse ou rebranche tes supports amovibles, qu'ils soient également analysés par la manipulation suivante.

 

Je vois que AVG AS est présent, on va en profiter.

 

• Lance AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

• Redémarre en mode normal et poste :
  
• le rapport AVG AS
  
• un nouveau log hijackthis
  

[croissantchaud92]

Bonsoir Gof,

 

Tout d'abord dans ATF-Cleaner.exe, j''ai pas vu "internet explorer" donc jai sélectionné tous les éléments de "Main" et de "Firefox" et je les ai squizzé.

 

 

Voici ensuite l'analyse d'AVG :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 22:19:55 16/01/2008

 

+ Résultat de l'analyse:

 

 

 

H:\Mes Documents\PLAY.exe -> Downloader.Agent.auv : Nettoyé et sauvegardé (mise en quarantaine).

H:\récup 3 partitions\sans titre\Documents and Settings\damienm\Local Settings\Temporary Internet Files\Content.IE5\ULSNW7AT\image[1].htm -> Downloader.Agent.p : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Bitdefender 9.rar/keygen.exe -> Downloader.Small.edb : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Messenger Plus! - Setup.exe/sponsor.exe -> Downloader.Swizzor.ag : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Setup.dat/sponsor.exe -> Downloader.Swizzor.ag : Nettoyé et sauvegardé (mise en quarantaine).

H:\récup 3 partitions\sans titre1\Mes Documents\Messenger Plus! - Setup.exe/sponsor.exe -> Downloader.Swizzor.ag : Nettoyé et sauvegardé (mise en quarantaine).

H:\récup 3 partitions\sans titre1\Mes Documents\Setup.dat/sponsor.exe -> Downloader.Swizzor.ag : Nettoyé et sauvegardé (mise en quarantaine).

H:\récup 3 partitions\sans titre\Documents and Settings\damienm\Local Settings\Temp\ojxgtbz.exe -> Downloader.Zlob.ayz : Nettoyé et sauvegardé (mise en quarantaine).

H:\récup 3 partitions\sans titre\Documents and Settings\damienm\Local Settings\Temporary Internet Files\Content.IE5TIJC9Y7\index[1].exe -> Downloader.Zlob.ayz : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Bitdefender 9.rar/crack.exe -> Dropper.Agent.azk : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Microsoft_Windows_XP_Professional_Edition_Corporate_SP2_build_2600_serial_number.rar/crack.exe -> Dropper.Agent.azk : Nettoyé et sauvegardé (mise en quarantaine).

H:\System Volume Information\_restore{69CAFF18-E517-4CB3-ABB8-36D9CC41206F}\RP9\A0000343.exe -> Dropper.Small.apl : Nettoyé et sauvegardé (mise en quarantaine).

H:\Mes Documents\Microsoft_Windows_XP_Professional_Edition_Corporate_SP2_build_2600_serial_number.rar/keygen.exe -> Trojan.Agent.aew : Nettoyé et sauvegardé (mise en quarantaine).

H:\System Volume Information\_restore{69CAFF18-E517-4CB3-ABB8-36D9CC41206F}\RP9\A0000342.exe -> Trojan.Copyself : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

En gros il n'y a eu que des mises en quarantaine sur mon DD externe.

 

 

 

Enfin, le rapport hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:18:40, on 16/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTE~1\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast ed familiale\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast ed familiale\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 3417 bytes

 

 

 

A noter qu'en démarrer l'ordi aujourd'hui, je n'ai eu aucun message d'erreur de la part de svchost.exe. Flashdisinfector serait il une ptite application miracle ??

[Gof]

Bonsoir croissantchaud92

 

Bien, bon travail. Tu peux supprimer la quarantaine d'AVG AS.

 

A noter qu'en démarrer l'ordi aujourd'hui, je n'ai eu aucun message d'erreur de la part de svchost.exe. Flashdisinfector serait il une ptite application miracle ??

C'est un petit outil très pratique développé par un auteur de talent, sUBs. Il a beaucoup d'outils gratuits à son actif, tous destinés à la lutte antimalware

 

Ton dernier rapport HijackThis a été généré en mode sans échec, je le souhaiterais en mode normal, peux tu m'en générer un nouveau je te prie ? Suivi d'un rapport comme ceci :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

A bientôt.

[croissantchaud92]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:22:00, on 17/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Avast ed familiale\aswUpdSv.exe

D:\Program Files\Avast ed familiale\ashServ.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

D:\PROGRA~1\AVASTE~1\ashDisp.exe

D:\WINDOWS\system32\ctfmon.exe

D:\PROGRA~1\Wanadoo\TaskBarIcon.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

D:\PROGRA~1\Wanadoo\ComComp.exe

D:\PROGRA~1\Wanadoo\Toaster.exe

D:\PROGRA~1\Wanadoo\Inactivity.exe

D:\PROGRA~1\Wanadoo\PollingModule.exe

D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

D:\WINDOWS\System32\FTRTSVC.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Avast ed familiale\ashMaiSv.exe

D:\Program Files\Avast ed familiale\ashWebSv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\PROGRA~1\Wanadoo\Watch.exe

D:\Program Files\MSN Messenger\usnsvc.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTE~1\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast ed familiale\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast ed familiale\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast ed familiale\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4321 bytes

 

 

__________________________________________________

 

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 17/01/2008 à 20:24:12,54

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

D:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->17/01/2008 20:24:09

D:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->17/01/2008 20:24:09

D:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->17/01/2008 20:23:43

D:\WINDOWS\prefetch\LISTDLLS.EXE-0120B204.pf -->17/01/2008 20:23:33

D:\WINDOWS\prefetch\GREP.EXE-13502A0B.pf -->17/01/2008 20:23:33

D:\WINDOWS\prefetch\PSLIST.EXE-1A1768FF.pf -->17/01/2008 20:23:32

D:\WINDOWS\prefetch\FPORT.EXE-2600D40C.pf -->17/01/2008 20:23:32

D:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->17/01/2008 20:22:23

D:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->17/01/2008 20:22:08

D:\WINDOWS\prefetch\HIJACKTHIS.EXE-241EE54E.pf -->17/01/2008 20:22:05

 

D:\WINDOWS\System32\drivers\nv4_mini.sys -->05/12/2007 01:41:00

D:\WINDOWS\System32\drivers\aswmon.sys -->04/12/2007 15:56:02

D:\WINDOWS\System32\drivers\aswmon2.sys -->04/12/2007 15:55:46

D:\WINDOWS\System32\drivers\aswRdr.sys -->04/12/2007 15:53:39

D:\WINDOWS\System32\drivers\aswTdi.sys -->04/12/2007 15:51:52

D:\WINDOWS\System32\drivers\aavmker4.sys -->04/12/2007 15:49:02

D:\WINDOWS\System32\drivers\ws2ifsl.sys -->02/08/2007 13:00:00

 

D:\WINDOWS\System32\CONFIG.NT -->13/01/2008 20:21:36

D:\WINDOWS\System32\MsgPlusLoader.dll -->13/01/2008 18:30:59

D:\WINDOWS\System32\h323log.txt -->13/01/2008 18:25:12

D:\WINDOWS\System32\pid.PNF -->13/01/2008 18:22:16

D:\WINDOWS\System32\wpa.dbl -->13/01/2008 18:01:43

D:\WINDOWS\System32\wpa.bak -->13/01/2008 18:01:43

D:\WINDOWS\System32\nvapps.xml -->13/01/2008 17:42:48

D:\WINDOWS\System32\PerfStringBackup.INI -->13/01/2008 17:34:16

D:\WINDOWS\System32\perfh00C.dat -->13/01/2008 17:34:16

D:\WINDOWS\System32\perfh009.dat -->13/01/2008 17:34:16

D:\WINDOWS\System32\perfc00C.dat -->13/01/2008 17:34:16

D:\WINDOWS\System32\perfc009.dat -->13/01/2008 17:34:16

D:\WINDOWS\System32\FNTCACHE.DAT -->13/01/2008 17:31:49

D:\WINDOWS\System32\$winnt$.inf -->13/01/2008 17:31:04

D:\WINDOWS\System32\nscompat.tlb -->13/01/2008 17:29:31

D:\WINDOWS\System32\amcompat.tlb -->13/01/2008 17:29:31

D:\WINDOWS\System32\WindowsLogon.manifest -->13/01/2008 17:28:41

D:\WINDOWS\System32\logonui.exe.manifest -->13/01/2008 17:28:41

D:\WINDOWS\System32\wuaucpl.cpl.manifest -->13/01/2008 17:28:38

D:\WINDOWS\System32\sapi.cpl.manifest -->13/01/2008 17:28:38

D:\WINDOWS\System32\nwc.cpl.manifest -->13/01/2008 17:28:38

D:\WINDOWS\System32\ncpa.cpl.manifest -->13/01/2008 17:28:38

D:\WINDOWS\System32\cdplayer.exe.manifest -->13/01/2008 17:28:38

D:\WINDOWS\System32\emptyregdb.dat -->13/01/2008 17:27:25

D:\WINDOWS\System32\NVUNINST.EXE -->05/12/2007 02:53:08

 

D:\WINDOWS.log -->17/01/2008 20:08:17

D:\WINDOWS\bootstat.dat -->17/01/2008 20:08:00

D:\WINDOWS\SchedLgU.Txt -->16/01/2008 23:56:58

D:\WINDOWS\WindowsUpdate.log -->16/01/2008 23:56:57

D:\WINDOWS\ntbtlog.txt -->16/01/2008 21:26:02

D:\WINDOWS\win.ini -->16/01/2008 18:52:35

D:\WINDOWS\system.ini -->16/01/2008 18:52:35

D:\WINDOWS\setupapi.log -->15/01/2008 21:08:14

D:\WINDOWS\KB927779.log -->13/01/2008 21:48:56

D:\WINDOWS\KB885836.log -->13/01/2008 21:48:55

D:\WINDOWS\KB937894.log -->13/01/2008 21:48:54

D:\WINDOWS\KB931784.log -->13/01/2008 21:48:52

D:\WINDOWS\KB942840.log -->13/01/2008 21:48:47

D:\WINDOWS\KB899591.log -->13/01/2008 21:48:45

D:\WINDOWS\KB893756.log -->13/01/2008 21:48:44

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1348

Command line: D:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x10000000 0xe000 3.63.0004.0000 D:\WINDOWS\system32\MsgPlusLoader.dll

0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll

0x01100000 0x2c6000 3.01.4000.2435 D:\WINDOWS\system32\msi.dll

0x76ac0000 0x11000 3.05.2284.0000 D:\WINDOWS\system32\ATL.DLL

0x016d0000 0x7000 1.00.0000.0001 D:\PROGRA~1\Wanadoo\Inactivity.dll

0x01fb0000 0x13000 7.05.0001.0036 D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 532

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\D:\WINDOWS\system32\winlogon.exe

0x10000000 0xe000 3.63.0004.0000 D:\WINDOWS\system32\MsgPlusLoader.dll

0x74730000 0x3d000 3.525.1117.0000 D:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 D:\WINDOWS\system32\odbcint.dll

0x76ac0000 0x11000 3.05.2284.0000 D:\WINDOWS\system32\ATL.DLL

0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est D056-65C5

 

Répertoire de D:\WINDOWS\system32

 

02/08/2007 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 204 823 523 328 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est D056-65C5

 

Répertoire de D:\WINDOWS\Downloaded Program Files

 

13/01/2008 17:28 <REP> .

13/01/2008 17:28 <REP> ..

13/01/2008 17:28 65 desktop.ini

1 fichier(s) 65 octets

 

Total des fichiers listés :

1 fichier(s) 65 octets

2 Rép(s) 204 823 523 328 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-17 20:24:45

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

264 - guard.exe

396 - nvsvc32.exe

508 - csrss.exe

532 - winlogon.exe

576 - services.exe

588 - lsass.exe

760 - svchost.exe

844 - svchost.exe

912 - svchost.exe

964 - svchost.exe

1068 - svchost.exe

1240 - ashServ.exe

1248 - ashMaiSv.exe

1348 - explorer.exe

1648 - ashWebSv.exe

1692 - avgas.exe

1720 - ashDisp.exe

1728 - ctfmon.exe

1736 - TaskBarIcon.exe

1760 - msnmsgr.exe

1800 - GestionnaireInt

1828 - ComComp.exe

1860 - Toaster.exe

1868 - Inactivity.exe

1876 - PollingModule.e

1944 - ALERTM~1.EXE

2356 - alg.exe

2708 - Watch.exe

2932 - firefox.exe

3184 - usnsvc.exe

3600 - cmd.exe

 

Total number of processes = 32

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806E2000 - \WINDOWS\system32\hal.dll

BADA8000 - \WINDOWS\system32\KDCOM.DLL

BACB8000 - \WINDOWS\system32\BOOTVID.dll

BA778000 - ACPI.sys

BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

BA767000 - pci.sys

BA8A8000 - isapnp.sys

BAE70000 - pciide.sys

BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

BA8B8000 - MountMgr.sys

BA748000 - ftdisk.sys

BADAC000 - dmload.sys

BA722000 - dmio.sys

BAB30000 - PartMgr.sys

BA8C8000 - VolSnap.sys

BA70A000 - atapi.sys

BA8D8000 - disk.sys

BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

BA6EB000 - fltMgr.sys

BA6D9000 - sr.sys

BA6C2000 - KSecDD.sys

BA635000 - Ntfs.sys

BA608000 - NDIS.sys

BA5ED000 - Mup.sys

BA9A8000 - \SystemRoot\system32\DRIVERS\intelppm.sys

B9E8D000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

B9E79000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

BABB0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

B9E56000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

BABB8000 - \SystemRoot\system32\DRIVERS\usbehci.sys

BABC0000 - \SystemRoot\system32\DRIVERS\RTL8029.SYS

BABC8000 - \SystemRoot\system32\DRIVERS\fdc.sys

B9E45000 - \SystemRoot\system32\DRIVERS\serial.sys

BAD60000 - \SystemRoot\system32\DRIVERS\serenum.sys

B9E31000 - \SystemRoot\system32\DRIVERS\parport.sys

BA9B8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

BABD0000 - \SystemRoot\system32\DRIVERS\mouclass.sys

BABD8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

BA9C8000 - \SystemRoot\system32\DRIVERS\imapi.sys

BA9D8000 - \SystemRoot\system32\DRIVERS\cdrom.sys

BA9E8000 - \SystemRoot\system32\DRIVERS\redbook.sys

B9E0E000 - \SystemRoot\system32\DRIVERS\ks.sys

BAF6F000 - \SystemRoot\system32\DRIVERS\audstub.sys

BA9F8000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

BAD68000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

B9DF7000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

BAA08000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

BAA18000 - \SystemRoot\system32\DRIVERS\raspptp.sys

BABE0000 - \SystemRoot\system32\DRIVERS\TDI.SYS

B9DE6000 - \SystemRoot\system32\DRIVERS\psched.sys

BAA28000 - \SystemRoot\system32\DRIVERS\msgpc.sys

BABE8000 - \SystemRoot\system32\DRIVERS\ptilink.sys

BABF0000 - \SystemRoot\system32\DRIVERS\raspti.sys

B9DB5000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

BAA38000 - \SystemRoot\system32\DRIVERS\termdd.sys

BADB0000 - \SystemRoot\system32\DRIVERS\swenum.sys

B9D42000 - \SystemRoot\system32\DRIVERS\update.sys

BAD90000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

BAA48000 - \SystemRoot\System32\Drivers\NDProxy.SYS

BAA68000 - \SystemRoot\system32\DRIVERS\usbhub.sys

BADB2000 - \SystemRoot\system32\DRIVERS\USBD.SYS

BABF8000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

BADB4000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

BAF5D000 - \SystemRoot\System32\Drivers\Null.SYS

BADB6000 - \SystemRoot\System32\Drivers\Beep.SYS

BAF5E000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

BAC08000 - \SystemRoot\System32\drivers\vga.sys

BADB8000 - \SystemRoot\System32\Drivers\mnmdd.SYS

BADBA000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

BAC10000 - \SystemRoot\System32\Drivers\Msfs.SYS

BAC18000 - \SystemRoot\System32\Drivers\Npfs.SYS

BA5A9000 - \SystemRoot\system32\DRIVERS\rasacd.sys

B7B0E000 - \SystemRoot\system32\DRIVERS\ipsec.sys

B7AB6000 - \SystemRoot\system32\DRIVERS\tcpip.sys

BAAA8000 - \SystemRoot\System32\Drivers\aswTdi.SYS

B7A95000 - \SystemRoot\system32\DRIVERS\ipnat.sys

B7A6D000 - \SystemRoot\system32\DRIVERS\netbt.sys

BAAB8000 - \SystemRoot\system32\DRIVERS\wanarp.sys

B7A4B000 - \SystemRoot\System32\drivers\afd.sys

BAAC8000 - \SystemRoot\system32\DRIVERS\netbios.sys

B7A1F000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B79B0000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

BAAD8000 - \SystemRoot\System32\Drivers\Fips.SYS

BAFC9000 - \??\D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

BAC28000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

BAC38000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

BA918000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B7970000 - \SystemRoot\System32\Drivers\dump_atapi.sys

BADCC000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

BAC40000 - \SystemRoot\System32\watchdog.sys

B9D3E000 - \SystemRoot\System32\drivers\Dxapi.sys

BF9C1000 - \SystemRoot\System32\drivers\dxg.sys

BAFC2000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D3000 - \SystemRoot\System32\nv4_disp.dll

B7678000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B743A000 - \SystemRoot\System32\Drivers\aswMon2.SYS

B73C7000 - \SystemRoot\System32\Drivers\Fastfat.SYS

B7002000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

BADFC000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B6EBF000 - \SystemRoot\system32\DRIVERS\srv.sys

B6B86000 - \SystemRoot\System32\Drivers\HTTP.sys

B6E8B000 - \SystemRoot\System32\Drivers\aswRdr.SYS

B6A2A000 - \??\D:\WINDOWS\system32\PCANDIS5.SYS

BAEEF000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 106

 

Liste des programmes installes

 

Archiveur WinRAR

avast! Antivirus

AVG Anti-Spyware 7.5

Gestionnaire Internet

HijackThis 2.0.2

Macromedia Flash Player 8

Messenger Plus! 3

Messenger Plus! Live

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB911164)

Mozilla Firefox (2.0.0.11)

Navigateur Orange

Navilog1 3.4.0

NVIDIA Drivers

RegCure 1.5.0.0

Utilitaire d'identification du processeur Intel®

WebFldrs XP

Windows Installer 3.1 (KB893803)

Windows Live installer

Windows Live Messenger

Windows Live Sign-in Assistant

 

 

 

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est D056-65C5

 

Répertoire de D:\Program Files

 

15/01/2008 21:11 <REP> .

15/01/2008 21:11 <REP> ..

06/01/2008 20:50 <REP> ad aware

13/01/2008 20:21 <REP> Avast ed familiale

13/01/2008 17:27 <REP> ComPlus Applications

13/01/2008 17:38 <REP> Drivers

13/01/2008 18:24 <REP> Fichiers communs

06/01/2008 20:32 <REP> Firefox

13/01/2008 15:54 <REP> Grisoft

13/01/2008 17:46 <REP> Intel Corporation

13/01/2008 17:28 <REP> Internet Explorer

13/01/2008 17:49 <REP> Inventel

02/01/2008 23:34 <REP> Kaspersky Lab

02/01/2008 23:39 <REP> Lavasoft

13/01/2008 17:27 <REP> Messenger

13/01/2008 18:43 <REP> Messenger Plus! Live

13/01/2008 18:31 <REP> MessengerPlus! 3

13/01/2008 17:29 <REP> microsoft frontpage

13/01/2008 17:27 <REP> Movie Maker

17/01/2008 20:23 <REP> Mozilla Firefox

13/01/2008 17:26 <REP> MSN

13/01/2008 17:27 <REP> MSN Gaming Zone

13/01/2008 18:43 <REP> MSN Messenger

14/01/2008 19:12 <REP> Navilog1

13/01/2008 17:28 <REP> NetMeeting

13/01/2008 17:27 <REP> Online Services

13/01/2008 17:28 <REP> Outlook Express

13/01/2008 23:22 <REP> RegCure

13/01/2008 17:50 <REP> Securitoo

13/01/2008 17:28 <REP> Services en ligne

06/01/2008 20:54 <REP> Spybot - Search & Destroy

15/01/2008 21:11 <REP> Trend Micro

09/01/2008 00:31 <REP> VideoLAN

17/01/2008 20:08 <REP> Wanadoo

13/01/2008 18:43 <REP> Windows Live

13/01/2008 17:29 <REP> Windows Media Player

13/01/2008 17:26 <REP> Windows NT

13/01/2008 17:45 <REP> WinRAR

13/01/2008 17:29 <REP> xerox

06/01/2008 20:31 <REP> Zone Labs

0 fichier(s) 0 octets

40 Rép(s) 204 823 187 456 octets libres

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est D056-65C5

 

Répertoire de D:\Program Files\fichiers communs

 

13/01/2008 18:24 <REP> .

13/01/2008 18:24 <REP> ..

13/01/2008 17:40 <REP> InstallShield

13/01/2008 18:40 <REP> Microsoft Shared

13/01/2008 17:28 <REP> MSSoap

13/01/2008 18:22 <REP> ODBC

13/01/2008 17:28 <REP> Services

13/01/2008 18:22 <REP> SpeechEngines

13/01/2008 17:27 <REP> System

0 fichier(s) 0 octets

9 Rép(s) 204 823 187 456 octets libres

Le volume dans le lecteur D n'a pas de nom.

Le numéro de série du volume est D056-65C5

 

Répertoire de D:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

13/01/2008 17:34 <REP> .

13/01/2008 17:34 <REP> ..

18/05/2001 15:57 561 209 MSONSEXT.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 204 823 187 456 octets libres

 

 

Attention : D:\autorun.inf existe

 

 

c:\Documents and Settings\damien\Local Settings\Temp\mmsetup18831.exe

c:\Documents and Settings\damien\Local Settings\Temp\msnsearch.exe

c:\Documents and Settings\damien\Local Settings\Temp\ins1.tmp\LDMClient.exe

c:\Documents and Settings\damien\Local Settings\Temporary Internet Files\Content.IE5\KHUJSPMN\zlsSetup_70_362_000_fr[1].exe

c:\Documents and Settings\damien\Local Settings\Temporary Internet Files\Content.IE5\O12V4XYF\zlsSetup_70_362_000_fr[1].exe

c:\Documents and Settings\damien\Local Settings\Temporary Internet Files\Content.IE5\WXMVGL6B\Firefox%20Setup%202.0.0.11[2].exe

c:\Documents and Settings\damien\Mes documents\vlc-0.8.6d-win32.exe

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_DAMIEN.tar.gz a l'adresse http://upload.malekal.com

 

 

A noter que j'ai du mettre ce fichier en quarantaine (avast l'a détecté lors de l'analyse de Diaghelp) :

D:\DOCUME~1\meybeck\LOCALS~1\Temp\sgeuypyc.dll

[Gof]

Bonjour croissantchaud92

 

Bien. Tu as ce logiciel d'installé : RegCure 1.5.0.0. Il est dans la "Crap'thèque" de Assiste.com (ici).

Logiciel "crapware" inutile ou piégé ou trompeur ou frauduleux ou crapuleux

Je te recommande de le désinstaller, puis de supprimer le répertoire suivant :

• D:\Program Files\RegCure
  

Vide ta corbeille. Indique moi si tu as rencontré des difficultés à faire cette manipulation.

 

Ensuite, fais une analyse en ligne comme ceci :

 

Rends toi sur ESET Online Scanner : http://www.eset.com/onlinescan/

• Coche la case YES, I accept the Terms Of Use
  
• Clique sur le bouton Start
  
• Clique maintenant sur Install button
  
• Clique à nouveau sur Start
  

• Les mises à jour du scan en ligne vont se faire.
  
• Ne coche pas Remove found threats
  
• Clique sur Scan button
  

• Le scan va démarrer, sois patient.
  
• Quand le scan sera terminé, clique sur Details tab
  
• Copie colle en réponse le contenu de C:\Program Files\EsetOnlineScanner\log.txt back
  

A bientôt.

[croissantchaud92]

# version=4

# OnlineScanner.ocx=1.0.0.56

# OnlineScannerDLLA.dll=1, 0, 0, 51

# OnlineScannerDLLW.dll=1, 0, 0, 51

# OnlineScannerUninstaller.exe=1, 0, 0, 49

# vers_standard_module=2806 (20080118)

# vers_arch_module=1.063 (20080117)

# vers_adv_heur_module=1.060 (20070601)

# EOSSerial=530fedb38c23784781a42103286a2cbe

# end=finished

# remove_checked=false

# unwanted_checked=false

# utc_time=2008-01-18 09:51:50

# local_time=2008-01-18 10:51:50 (+0100, Paris, Madrid)

# country="France"

# osver=5.1.2600 NT Service Pack 2

# scanned=345653

# found=6

# scan_time=2414

C:\WINDOWS\autorun.inf INF/Autorun virus 00000000000000000000000000000000

H:\AUTORUN.FCB INF/Autorun virus 00000000000000000000000000000000

H:\Mes Documents\dvdaccess1030.exe multiple infiltrations E0506EB2019EF11674B8975BFE67FB3C

H:\Mes Documents\dvdaccess1030.exe »NSIS »step1.exe a variant of Win32/DNSChanger trojan 00000000000000000000000000000000

H:\Mes Documents\dvdaccess1030.exe »NSIS »step2.exe a variant of Win32/TrojanDownloader.Zlob trojan 00000000000000000000000000000000

H:\récup 3 partitions\sans titre\Documents and Settings\damienm\Local Settings\Application Data\Mozilla\Firefox\Profiles\o90ccyoz.default\Cache10C8FEBd01 JS/TrojanDownloader.Agent.AB trojan C326E9730E5CA083A4E1B046D11CED5B

 

 

P.S : T'as un taff de nuit ? Je dis pcq tu réponds systématiquement a la même heure et ma foi, bien plus tot que la moyenne des gens ^^

[Gof]

Bonsoir croissantchaud92

 

P.S : T'as un taff de nuit ? Je dis pcq tu réponds systématiquement a la même heure et ma foi, bien plus tot que la moyenne des gens ^^

Curieux ^^ !

 

Tu ne m'as pas dit comment s'était passée la désinstallation de RegCure ?

 

L'analyse en ligne a révélé quelques entrées que je vais te faire supprimer. J'aimerais des précisions sur une entrée. Tu sembles avoir un répertoire de récupération d'une ancienne partition, dans lequel un élément de profil Firefox est infectieux. Je te suggère de supprimer ce répertoire, te sert-il ? Je le mets en "gris" dans les lignes suivantes. Si tu as un doute et que tu préfères m'en parler avant de le supprimer, ne l'insère pas dans ton copier-coller avec l'outil suivant.

• Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
  
• Double-clique sur OTMoveIt.exe pour le lancer.
  
• Assure toi que Unregister Dll's and Ocx's soit coché.
  
• Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved
  

• C:\WINDOWS\autorun.inf
  H:\AUTORUN.FCB
  H:\Mes Documents\dvdaccess1030.exe
  H:\récup 3 partitions\sans titre\Documents and Settings\damienm\Local Settings\Application Data\Mozilla\Firefox\Profiles\o90ccyoz.default
  

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat.
  
• Clique sur Exit pour fermer.
  
• Colle le résultat dans ta prochain réponse.
  

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

 

Avec le rapport généré, reposte un log hijackthis.