ordinateur infecté

pear · le 4 février 2008

Bonjour,

* Télécharger OTMoveIt (de Old_Timer) sur leBureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Double-cliquer sur OTMoveIt.exe pour le lancer.

*Vérifier que Unregister Dll's and Ocx's soit coché.

* Copier-coller dans le cadre de gauche de OTMoveIt :

Paste List of Files/Folders to be moved

C:\WINDOWS\system32\khfdbax.dll

* Cliquer sur MoveIt! pour lancer la suppression.

* Le résultat apparaitra dans le cadre Results. Copier le résultat.

* Cliquer sur Exit pour fermer.

* Coller le résultat dans la prochain réponse.

superping · le 4 février 2008

Voilà:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\khfdbax.dll

C:\WINDOWS\system32\khfdbax.dll NOT unregistered.

C:\WINDOWS\system32\khfdbax.dll moved successfully.

OTMoveIt2 v1.0.17 log created on 02042008_151721

pear · le 4 février 2008

Avez vous toujours des problèmes ?

superping · le 4 février 2008

Il y a du mieux mais il reste des traces.

- Avast ne detecte plus de virus (depuis 2h aujourd'hui en tout cas)

- Je n'ai plus, pour le moment, de fenêtres qui s'ouvrent

par contre il reste, le message d'erreur warning spyware - advertisement - your computer may be infected with spyware dans certaines pubs des pages webs.

pear · le 4 février 2008

Télécharger Antivir ( http://www.free-av.com ).

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

--- Ce tutorial permet de le paramétrer aisément

http://www.malekal.com/tutorial_antivir.php

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

Télécharger DiagHelp.zip de Malekal_morte sur le bureau.

http://www.malekal.com/download/DiagHelp.zip

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ouvrez le et double-cliquez sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes, appuyez sur une touche quand on le demande

* Copier/coller le contenu entier du bloc-note qui s'ouvre et le joindre à la prochaine réponse.

Modifié le 4 février 2008 par pear

superping · le 5 février 2008

Après le passage d'antivir en mode sans echec, les soucis semblent résolus: plus de warning spyware ni de fenêtre de pubs qui s'ouvrent.

Merci beaucoup pour votre aide.

Si vous avez d'autres conseils ou si vous pensez que d'autres manipulations sont à effectuer, je suis preneur...

Rapports antivir et diaghelp:

AntiVir PersonalEdition Classic

Report file date: mardi 5 février 2008 02:25

Scanning for 1092160 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Pascalb

Computer name: PASCAL

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:03:32

ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 19:03:32

ANTIVIR3.VDF : 7.0.2.90 296448 Bytes 04/02/2008 19:03:32

AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 04/02/2008 19:03:32

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 04/02/2008 19:03:32

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: F:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Start of the scan: mardi 5 février 2008 02:25

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

13 processes with 13 modules were scanned

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( '30' files ).

Starting the file scan:

Begin scan in 'C:\' <Disque local>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Pascalb\Local Settings\Temporary Internet Files\Content.IE5\TLNWQXM3\hctp[1]

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

C:\Program Files\ntsecurity\ntsecurity.exe

[DETECTION] Contains detection pattern of the dropper DR/Delphi.Gen

[iNFO] The file was deleted!

C:\VundoFix Backups\khfdbax.dll.bad

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

C:\VundoFix Backups\pmnll.dll.bad

[DETECTION] Is the Trojan horse TR/Virtumod.PB

[iNFO] The file was deleted!

C:\WINDOWS\system32\pmnnl.VIR

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

C:\_OTMoveIt\MovedFiles2042008_151721\WINDOWS\system32\khfdbax.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was deleted!

Begin scan in 'E:\' <Données>

E:\site_internet\anciens_sites\vieuxsites_pchaut\Logiciel\Gifanimator\SETUP\GIFACME.EXE

[DETECTION] Contains detection pattern of the Windows virus W95/CIH (inactive)

[iNFO] The file was deleted!

Begin scan in 'F:\' <Multimédia>

End of the scan: mardi 5 février 2008 08:36

Used time: 6:10:26 min

The scan has been done completely.

10884 Scanning directories

420759 Files were scanned

7 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

7 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

420752 Files not concerned

13566 Archives were scanned

1 Warnings

44 Notes

_______________________________________________________________________________

DiagHelp version v1.4 - http://www.malekal.com

excute le 05/02/2008 à 14:15:45,46

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\layout.ini -->18/03/2007 21:55:24

C:\WINDOWS\System32\drivers\avipbb.sys -->04/02/2008 20:03:32

C:\WINDOWS\System32\drivers\aswmon.sys -->04/12/2007 15:56:02

C:\WINDOWS\System32\drivers\aswmon2.sys -->04/12/2007 15:55:46

C:\WINDOWS\System32\drivers\aswRdr.sys -->04/12/2007 15:53:39

C:\WINDOWS\System32\drivers\aswTdi.sys -->04/12/2007 15:51:52

C:\WINDOWS\System32\drivers\aavmker4.sys -->04/12/2007 15:49:02

C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54

C:\WINDOWS\System32\bdod.bin -->05/02/2008 14:11:28

C:\WINDOWS\System32\bdss.log -->05/02/2008 13:26:17

C:\WINDOWS\System32\wpa.dbl -->05/02/2008 13:13:35

C:\WINDOWS\System32\vsconfig.xml -->05/02/2008 13:11:52

C:\WINDOWS\System32\PerfStringBackup.INI -->05/02/2008 01:25:14

C:\WINDOWS\System32\perfh00C.dat -->05/02/2008 01:25:14

C:\WINDOWS\System32\perfh009.dat -->05/02/2008 01:25:14

C:\WINDOWS\System32\perfc00C.dat -->05/02/2008 01:25:14

C:\WINDOWS\System32\perfc009.dat -->05/02/2008 01:25:14

C:\WINDOWS\System32\lnnmp.ini -->04/02/2008 20:14:10

C:\WINDOWS\System32\lnnmp.ini2 -->04/02/2008 20:14:06

C:\WINDOWS\System32\mcrh.tmp -->04/02/2008 18:01:19

C:\WINDOWS\System32\tmp.txt -->03/02/2008 16:11:59

C:\WINDOWS\System32\tmp.reg -->03/02/2008 16:11:59

C:\WINDOWS\System32\rmoc3260.dll -->02/02/2008 21:33:28

C:\WINDOWS\System32\pndx5032.dll -->02/02/2008 21:32:07

C:\WINDOWS\System32\pndx5016.dll -->02/02/2008 21:32:07

C:\WINDOWS\System32\pncrt.dll -->02/02/2008 21:31:42

C:\WINDOWS\System32\Uninstall.ico -->02/02/2008 01:24:27

C:\WINDOWS\System32\pavas.ico -->02/02/2008 01:24:27

C:\WINDOWS\System32\Help.ico -->02/02/2008 01:24:27

C:\WINDOWS\System32\efecbbdccd7_r.ocx -->02/02/2008 01:20:29

C:\WINDOWS\System32\bfeddeee4_r.dll -->02/02/2008 01:20:29

C:\WINDOWS\System32\VACFix.exe -->02/02/2008 00:55:37

C:\WINDOWS\System32\vgtkoucq.ini -->30/01/2008 16:24:19

C:\WINDOWS\WindowsUpdate.log -->05/02/2008 13:21:25

C:\WINDOWS.log -->05/02/2008 13:11:49

C:\WINDOWS\wiadebug.log -->05/02/2008 13:10:21

C:\WINDOWS\wiaservc.log -->05/02/2008 13:10:12

C:\WINDOWS\SchedLgU.Txt -->05/02/2008 13:09:47

C:\WINDOWS\bootstat.dat -->05/02/2008 13:09:19

C:\WINDOWS\ntbtlog.txt -->05/02/2008 02:22:17

C:\WINDOWS\NeroDigital.ini -->05/02/2008 02:08:51

C:\WINDOWS\PrimoPDF Setup Log.txt -->05/02/2008 01:33:23

C:\WINDOWS\primopdf.ini -->05/02/2008 01:32:04

C:\WINDOWS\KB893803v2.log -->05/02/2008 01:16:22

C:\WINDOWS\setupapi.log -->05/02/2008 01:11:32

C:\WINDOWS\setuperr.log -->05/02/2008 01:11:10

C:\WINDOWS\setupact.log -->05/02/2008 01:11:10

C:\WINDOWS\QTFont.qfn -->04/02/2008 20:43:10

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

explorer.exe pid: 1472

Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path

0x44080000 0xcf000 7.00.6000.16574 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16574 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cd000 7.00.6000.16574 C:\WINDOWS\system32\ieframe.dll

0x442b0000 0x3c000 7.00.6000.16574 C:\WINDOWS\system32\webcheck.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x5f800000 0x16000 1.01.1593.0000 C:\PROGRA~1\WINDOW~3\MpShHook.dll

0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll

0x7c420000 0x87000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCP80.dll

0x44160000 0x127000 7.00.6000.16574 C:\WINDOWS\system32\urlmon.dll

0x10000000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

0x01ce0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

0x01c30000 0xa000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.FRA

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

winlogon.exe pid: 820

Command line: winlogon.exe

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x10000000 0x10000 6.14.0010.4118 C:\WINDOWS\system32\Ati2evxx.dll

0x01e20000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 28E3-0D60

Répertoire de C:\WINDOWS\system32

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 4 447 219 712 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 28E3-0D60

Répertoire de C:\WINDOWS\Downloaded Program Files

02/02/2008 20:56 <REP> .

02/02/2008 20:56 <REP> ..

24/08/2006 08:28 141 424 asinst.dll

22/08/2006 09:06 537 asinst.inf

22/07/2005 03:01 65 desktop.ini

11/04/2007 14:55 1 292 erma.inf

11/07/2006 09:41 345 656 ewidoOnlineScan.dll

29/08/2006 14:39 1 563 hardwaredetection.inf

10/11/2005 13:05 876 jinstall-1_5_0_06.inf

08/10/2007 20:21 367 LegitCheckControl.inf

04/09/2006 18:12 895 RteAllCabs.inf

01/12/2005 11:22 547 RteDataTable.inf

27/07/2006 18:10 126 976 RteDataTable.ocx

04/09/2006 14:52 188 416 RteDoc.ocx

06/05/2004 09:33 114 688 RteTiffX.ocx

30/06/2006 17:53 375 SpeedUploader.inf

30/06/2006 17:53 2 025 216 SpeedUploader.ocx

11/06/2007 11:21 5 021 swflash.inf

18/09/2006 10:31 1 051 888 uploader_uni.ocx

26/05/2005 03:19 291 wuweb.inf

18/09/2006 15:20 242 520 XUpload.ocx

19 fichier(s) 4 248 613 octets

Total des fichiers listés :

19 fichier(s) 4 248 613 octets

2 Rép(s) 4 447 219 712 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL"

"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

127.0.0.1 avpcheckupdate.com

127.0.0.1 www.avpcheckupdate.com

127.0.0.1 client.exeupdate.com

127.0.0.1 eupdatepage.com

127.0.0.1 www.eupdatepage.com

127.0.0.1 exeupdate.com

127.0.0.1 www.exeupdate.com

127.0.0.1 hotwinupdates.com

127.0.0.1 www.hotwinupdates.com

127.0.0.1 lavasoftupdate.com

127.0.0.1 www.lavasoftupdate.com

127.0.0.1 malwarewipeupdate.com

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 msupdate.net

127.0.0.1 www.msupdate.net

127.0.0.1 msupdater.net

127.0.0.1 www.msupdater.net

127.0.0.1 necessaryupdates.com

127.0.0.1 www.necessaryupdates.com

127.0.0.1 newupdates.lzio.com

127.0.0.1 redirect.msupdate.net

127.0.0.1 search.keyword.exeupdate.com

127.0.0.1 securityupdatesite.com

127.0.0.1 www.securityupdatesite.com

127.0.0.1 settings.updatemysettings.com

127.0.0.1 spyaxeupdate.com

127.0.0.1 www.spyaxeupdate.com

127.0.0.1 spyfalconupdate.com

127.0.0.1 www.spyfalconupdate.com

127.0.0.1 systemupdates.net

127.0.0.1 www.systemupdates.net

127.0.0.1 trial.updates.winsoftware.com

127.0.0.1 update.680180.net

127.0.0.1 updatemysettings.com

127.0.0.1 www.updatemysettings.com

127.0.0.1 updates.spywarequake.com

127.0.0.1 urgentsystemupdate.biz

127.0.0.1 www.urgentsystemupdate.biz

127.0.0.1 urgentsystemupdate.com

127.0.0.1 www.urgentsystemupdate.com

127.0.0.1 windupdates.com

127.0.0.1 pandaantivirus-2007.com

127.0.0.1 www.pandaantivirus-2007.com

127.0.0.1 pandadownload-now.com

127.0.0.1 www.pandadownload-now.com

127.0.0.1 panda-hq.com

127.0.0.1 www.panda-hq.com

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-05 14:17:13

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

216 - ashServ.exe

520 - avguard.exe

788 - csrss.exe

820 - winlogon.exe

868 - services.exe

880 - lsass.exe

1020 - ati2evxx.exe

1064 - svchost.exe

1112 - svchost.exe

1212 - sched.exe

1220 - MsMpEng.exe

1284 - svchost.exe

1328 - guard.exe

1360 - xcommsvr.exe

1472 - explorer.exe

1484 - svchost.exe

1500 - vsmon.exe

1736 - ati2evxx.exe

1796 - livesrv.exe

2216 - vsserv.exe

2272 - cmd.exe

2352 - bdss.exe

2540 - atiptaxx.exe

2556 - UMonit.exe

2716 - everest.bin

2724 - RTHDCPL.exe

2732 - ashDisp.exe

2780 - zlclient.exe

2904 - wmiprvse.exe

3044 - AcroRd32.exe

3172 - alg.exe

3240 - avgas.exe

3400 - svchost.exe

3844 - avgnt.exe

3856 - ctfmon.exe

3984 - iexplore.exe

4028 - firefox.exe

Total number of processes = 38

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806CE000 - \WINDOWS\system32\hal.dll

F7A1E000 - \WINDOWS\system32\KDCOM.DLL

F792E000 - \WINDOWS\system32\BOOTVID.dll

F73EE000 - ACPI.sys

F7A20000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F73DD000 - pci.sys

F751E000 - isapnp.sys

F752E000 - ohci1394.sys

F753E000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F7932000 - compbatt.sys

F7936000 - \WINDOWS\system32\DRIVERS\BATTC.SYS

F7AE6000 - pciide.sys

F779E000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F754E000 - MountMgr.sys

F73BE000 - ftdisk.sys

F77A6000 - PartMgr.sys

F755E000 - VolSnap.sys

F73A6000 - atapi.sys

F72D0000 - iaStor.sys

F72B9000 - nvatabus.sys

F72A6000 - nvraid.sys

F756E000 - \WINDOWS\system32\drivers\CLASSPNP.SYS

F77AE000 - SiSRaid2.sys

F728E000 - \WINDOWS\system32\drivers\SCSIPORT.SYS

F7277000 - viamraid.sys

F757E000 - disk.sys

F7257000 - fltMgr.sys

F7240000 - KSecDD.sys

F71B3000 - Ntfs.sys

F7186000 - NDIS.sys

F7126000 - timntr.sys

F7112000 - srescan.sys

F70F7000 - snapman.sys

F70DC000 - Mup.sys

F759E000 - \SystemRoot\system32\DRIVERS\AmdK8.sys

F6EEE000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F6EDA000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F77D6000 - \SystemRoot\system32\DRIVERS\usbohci.sys

F6EB7000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F77DE000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F75AE000 - \SystemRoot\system32\DRIVERS\imapi.sys

F75BE000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F75CE000 - \SystemRoot\system32\DRIVERS\redbook.sys

F6E94000 - \SystemRoot\system32\DRIVERS\ks.sys

F6E6F000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys

F75DE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F7A24000 - \SystemRoot\system32\DRIVERS\EKBfltr.sys

F7806000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F7816000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F6E14000 - \SystemRoot\system32\DRIVERS\bcmwl5.sys

F75EE000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F6E01000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys

F708F000 - \SystemRoot\system32\DRIVERS\CmBatt.sys

F7BCD000 - \SystemRoot\system32\DRIVERS\audstub.sys

F75FE000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7087000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F6DC2000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F760E000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F761E000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F783E000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F6DB1000 - \SystemRoot\system32\DRIVERS\psched.sys

F762E000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F784E000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F785E000 - \SystemRoot\system32\DRIVERS\raspti.sys

F7866000 - \SystemRoot\system32\DRIVERS\wanatw4.sys

F763E000 - \SystemRoot\system32\DRIVERS\termdd.sys

F7A2A000 - \SystemRoot\system32\DRIVERS\swenum.sys

F6D7D000 - \SystemRoot\system32\DRIVERS\update.sys

F7073000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F764E000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F767E000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7A30000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F28B0000 - \SystemRoot\system32\drivers\RtkHDAud.sys

F288E000 - \SystemRoot\system32\drivers\portcls.sys

F768E000 - \SystemRoot\system32\drivers\drmk.sys

F27C0000 - \SystemRoot\system32\DRIVERS\smserial.sys

F788E000 - \SystemRoot\System32\Drivers\Modem.SYS

F7A3A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7C4B000 - \SystemRoot\System32\Drivers\Null.SYS

F7A3E000 - \SystemRoot\System32\Drivers\Beep.SYS

F7C4E000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

F78BE000 - \SystemRoot\System32\drivers\vga.sys

F7A42000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7A46000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F78CE000 - \SystemRoot\System32\Drivers\Msfs.SYS

F78DE000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7033000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F278D000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F2734000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F769E000 - \SystemRoot\System32\Drivers\aswTdi.SYS

F2713000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F76AE000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F26EB000 - \SystemRoot\system32\DRIVERS\netbt.sys

F76BE000 - \SystemRoot\system32\DRIVERS\arp1394.sys

F268C000 - \SystemRoot\System32\vsdatant.sys

F266A000 - \SystemRoot\System32\drivers\afd.sys

F76DE000 - \SystemRoot\system32\DRIVERS\netbios.sys

F78F6000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

F263F000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F7B0C000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS

F25A8000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F76FE000 - \SystemRoot\System32\Drivers\Fips.SYS

F770E000 - \SystemRoot\system32\DRIVERS\avipbb.sys

F7A56000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

F7B1E000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

F790E000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F773E000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F24F0000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7A6E000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F6D65000 - \SystemRoot\System32\drivers\Dxapi.sys

F77CE000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7C0D000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA0C000 - \SystemRoot\System32\ati2cqag.dll

BFA40000 - \SystemRoot\System32\atikvmag.dll

BFA75000 - \SystemRoot\System32\ati3duag.dll

BFCB7000 * --[Hidden]--

F781E000 - \SystemRoot\system32\DRIVERS\tifsfilt.sys

F0310000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

F0022000 - \SystemRoot\System32\Drivers\aswMon2.SYS

EFEA7000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

EFE2A000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

EFCD1000 - \SystemRoot\System32\Drivers\HTTP.sys

EFCBC000 - \SystemRoot\system32\drivers\wdmaud.sys

F2508000 - \SystemRoot\system32\drivers\sysaudio.sys

EF772000 - \SystemRoot\system32\DRIVERS\srv.sys

EF39B000 - \SystemRoot\System32\Drivers\aswRdr.SYS

F7ACA000 - \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt

EEEF9000 - \SystemRoot\system32\drivers\kmixer.sys

F7BB7000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 133

Liste des programmes installes

Acronis True Image Home

Adobe Flash Player ActiveX

Adobe Flash Player Plugin

Adobe Reader 7.0.9 - Français

AOL Auto-diagnostic

AOL France

Apple Software Update

Applet_App

Applet_Copy

Applet_Creativity

Applet_Email

Applet_Epp

Applet_File

Applet_OCR

Applet_Web

AppleWorks 6

Archiveur WinRAR

ATI Display Driver

avast! Antivirus

AVG Anti-Spyware 7.5

Avira AntiVir PersonalEdition Classic

BitDefender Free Edition v10

CCleaner (remove only)

Correctif pour Windows XP (KB889527)

Correctif pour Windows XP (KB893357)

Correctif pour Windows XP (KB903234)

Correctif pour Windows XP (KB914440)

Correctif pour Windows XP (KB935448)

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB883529

Correctif Windows XP - KB883667

Correctif Windows XP - KB884020

Correctif Windows XP - KB884575

Correctif Windows XP - KB884883

Correctif Windows XP - KB885222

Correctif Windows XP - KB885250

Correctif Windows XP - KB885295

Correctif Windows XP - KB885523

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885855

Correctif Windows XP - KB885887

Correctif Windows XP - KB885894

Correctif Windows XP - KB886185

Correctif Windows XP - KB886677

Correctif Windows XP - KB886716

Correctif Windows XP - KB887742

Correctif Windows XP - KB887797

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB888402

Correctif Windows XP - KB889016

Correctif Windows XP - KB890831

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Correctif Windows XP - KB892627

Correctif Windows XP - KB893056

Correctif Windows XP - KB893086

Correctif Windows XP - KB896626

EasyRecovery Professional

EPSON Photo Print

EPSON Smart Panel

EPSON TWAIN 5

EVEREST Home Edition v2.20

FileZilla (remove only)

FileZilla Client 3.0.5.2

Free PDF to Word Doc Converter v1.1

Genesys USB Mass Storage Device

Google Toolbar for Internet Explorer

HardwareDetection

High Definition Audio - KB888111

HijackThis 2.0.2

Hotfix for Windows XP (KB915865)

InterVideo WinDVD

Java 6 Update 3

jv16 PowerTools 2007

Lecteur Windows Media 10

Macromedia Dreamweaver MX 2004

Macromedia Extension Manager

Manuel DW-B 200

MaxTV

MaxTV - SopCast Plug In

MeuhMeuhTV (désinstallation uniquement)

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edition 2003

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893066)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899588)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB900930)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922760)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour de sécurité pour Windows XP (KB941568)

Mise à jour de sécurité pour Windows XP (KB941569)

Mise à jour de sécurité pour Windows XP (KB941644)

Mise à jour de sécurité pour Windows XP (KB943460)

Mise à jour de sécurité pour Windows XP (KB943485)

Mise à jour de sécurité pour Windows XP (KB944653)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB896727)

Mise à jour pour Windows XP (KB897663)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB929338)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB938828)

Mise à jour pour Windows XP (KB942763)

MMTVConfig (désinstallation seulement)

Module de compatibilité pour Microsoft Office System 2007

Motorola SM56 Data Fax Modem

Mozilla Firefox (2.0.0.11)

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

Navilog1 3.4.2

Nero BurnRights

Nero Suite

NeroVision Express Content

Pack Inventel pour DW-B 200

Panda ActiveScan

Pando

Panneau de contrôle ATI

PartitionMagic

pdfsam 0.7b1

PowerQuest PartitionMagic 8.0

PrimoPDF

PrimoPDF Redistribution Package

QuickTime

RealPlayer

REALTEK Gigabit and Fast Ethernet NIC Driver

Realtek High Definition Audio Driver

ScanToWeb

SopCast 1.1.2

Spybot - Search & Destroy

TV sur PC

TVAnts 1.0

VideoLAN VLC media player 0.8.5

Viewpoint Media Player

Votre Budget 2005 - Edition Micro Classic

Web TV

WebFldrs XP

WHS ProStation

Windows Defender

Windows Genuine Advantage Notifications (KB905474)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Media Format Runtime

Windows Media Format SDK Hotfix - KB891122

Windows Media Player 10 Hotfix - KB888656

XnView 1.82.4

xp-AntiSpy 3.93

ZoneAlarm

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 28E3-0D60

Répertoire de C:\Program Files

05/02/2008 02:04 <REP> .

05/02/2008 02:04 <REP> ..

04/11/2007 23:32 <REP> Acronis

05/02/2008 01:31 <REP> activePDF

12/08/2007 21:51 <REP> Adobe

22/07/2005 03:44 <REP> Ahead

06/04/2007 18:56 <REP> Alwil Software

29/07/2007 01:43 <REP> AOL 8.0

13/09/2007 23:15 <REP> AOL 8.0a

13/04/2007 16:23 <REP> AOL 9.0

29/07/2007 01:49 <REP> AOL Compagnon

15/01/2008 18:40 <REP> Apple Computer

02/02/2008 21:06 <REP> Apple Software Update

22/07/2005 03:41 <REP> ATI Technologies

04/02/2008 19:59 <REP> Avira

08/04/2007 12:22 <REP> Belarc

29/08/2006 12:29 <REP> CCleaner

04/11/2007 15:59 <REP> DMV

12/08/2007 21:53 <REP> Double Driver

05/09/2006 16:16 <REP> eMPIA

02/11/2006 17:02 <REP> EPSON

08/04/2007 19:59 <REP> Executive Software

02/02/2008 21:35 <REP> Fichiers communs

10/09/2006 16:56 <REP> FileZilla

22/01/2008 18:27 <REP> FileZilla FTP Client

21/01/2008 15:19 <REP> Free PDF to Word Doc Converter

03/02/2008 15:21 <REP> Google

05/02/2008 02:04 <REP> GPLGS

01/02/2008 18:55 <REP> Grisoft

20/11/2006 22:01 <REP> HardwareDetection

14/10/2007 21:59 <REP> Hewlett-Packard

05/02/2008 01:20 <REP> Internet Explorer

22/07/2005 03:44 <REP> InterVideo

31/08/2006 23:15 <REP> Inventel

02/02/2008 20:32 <REP> Java

02/02/2008 01:20 <REP> jv16 PowerTools 2007

25/08/2006 14:55 <REP> Lavalys

29/08/2006 14:03 <REP> Macromedia

25/08/2006 14:43 <REP> Messenger

08/09/2006 21:30 <REP> MeuhMeuhTV

29/12/2007 13:24 <REP> Micro Application

22/07/2005 03:03 <REP> microsoft frontpage

23/03/2007 23:00 <REP> Microsoft Office

26/08/2006 20:19 <REP> Microsoft.NET

23/08/2006 15:45 <REP> MMTVConfig

22/07/2005 03:00 <REP> Movie Maker

05/02/2008 13:18 <REP> Mozilla Firefox

23/03/2007 22:56 <REP> MSECache

22/07/2005 02:59 <REP> MSN Gaming Zone

21/08/2007 17:47 <REP> MSXML 4.0

03/02/2008 16:10 <REP> Navilog1

27/08/2006 16:00 <REP> NetMeeting

13/10/2007 12:11 <REP> Neuf

23/08/2006 22:30 <REP> Nullsoft

27/08/2006 13:29 <REP> Ontrack

13/06/2007 12:18 <REP> Outlook Express

10/11/2007 19:44 <REP> Pando Networks

22/01/2008 16:40 <REP> pdfsam

03/02/2008 14:26 <REP> PestPatrol

26/08/2006 14:56 <REP> PowerQuest

02/02/2008 21:28 <REP> QuickTime

23/08/2006 14:40 <REP> Raccourcis de programmes

23/08/2006 22:30 <REP> Real

24/08/2006 01:44 <REP> Realtek

22/07/2005 03:01 <REP> Services en ligne

31/01/2008 23:29 <REP> Shareaza

09/01/2008 16:34 <REP> Shareaza Applications

02/11/2007 16:20 <REP> Softwin

11/11/2007 18:34 <REP> SopCast

31/01/2008 16:23 <REP> Spybot - Search & Destroy

29/07/2007 01:09 <REP> TechCity Solutions

02/02/2008 15:34 <REP> Trend Micro

28/10/2007 20:11 <REP> TVAnts

17/09/2006 14:01 <REP> VideoLAN

23/08/2006 22:30 <REP> Viewpoint

28/10/2007 12:26 <REP> Web TV

29/01/2008 00:22 <REP> WHS ProStation

02/02/2008 16:05 <REP> Windows Defender

21/08/2007 17:47 <REP> Windows Media Player

22/07/2005 02:59 <REP> Windows NT

05/11/2007 00:31 <REP> WinRAR

22/07/2005 03:03 <REP> xerox

29/08/2006 21:03 <REP> XnView

26/08/2006 18:52 <REP> xp-AntiSpy

13/04/2007 16:19 <REP> Yahoo!

06/04/2007 18:57 <REP> Zone Labs

0 fichier(s) 0 octets

86 Rép(s) 4 446 715 904 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 28E3-0D60

Répertoire de C:\Program Files\fichiers communs

02/02/2008 21:35 <REP> .

02/02/2008 21:35 <REP> ..

04/11/2007 23:33 <REP> Acronis

12/08/2007 21:54 <REP> Adobe

22/07/2005 03:43 <REP> Ahead

29/07/2007 01:45 <REP> AOL

12/12/2006 19:37 <REP> aolback

29/07/2007 01:50 <REP> aolshare

29/01/2008 01:07 <REP> Bcgsoft

26/08/2006 20:20 <REP> DESIGNER

26/08/2006 14:54 <REP> InstallShield

06/09/2006 09:29 <REP> Java

29/08/2006 14:03 <REP> Macromedia

29/08/2006 14:03 <REP> Macromedia Shared

23/03/2007 23:00 <REP> Microsoft Shared

22/07/2005 03:00 <REP> MSSoap

09/09/2006 23:51 <REP> Nero

12/12/2006 19:35 <REP> Nullsoft

17/09/2007 18:07 <REP> ODBC

02/02/2008 21:33 <REP> Real

22/07/2005 03:01 <REP> Services

02/11/2007 16:20 <REP> Softwin

22/07/2005 04:55 <REP> SpeechEngines

27/08/2006 16:00 <REP> Symantec Shared

13/06/2007 12:18 <REP> System

02/02/2008 21:35 <REP> xing shared

0 fichier(s) 0 octets

26 Rép(s) 4 446 715 904 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 28E3-0D60

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

26/08/2006 20:20 <REP> .

26/08/2006 20:20 <REP> ..

26/08/2006 20:20 <REP> 1033

26/08/2006 20:20 <REP> 1036

11/07/2003 09:15 1 292 872 MSONSEXT.DLL

15/07/2003 05:52 35 896 MSOSV.DLL

03/06/1999 11:09 122 937 MSOWS409.DLL

07/03/2001 06:00 127 033 MSOWS40c.DLL

11/07/2003 01:25 80 448 PKMWS.DLL

5 fichier(s) 1 659 186 octets

4 Rép(s) 4 446 715 904 octets libres

c:\Documents and Settings\Pascalb\.housecall6.6\getMac.exe

c:\Documents and Settings\Pascalb\.housecall6.6\patch.exe

c:\Documents and Settings\Pascalb\.housecall6.6\TSC.exe

c:\Documents and Settings\Pascalb\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\Pascalb\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe

c:\Documents and Settings\Pascalb\Application Data\RelevantReach\PDF Converter Pro Try and Die\rrdata\update.exe

c:\Documents and Settings\Pascalb\Application Data\SopCast\adv\SopAdver.exe

c:\Documents and Settings\Pascalb\Application Data\WH SELFINVEST\WHS ProStation\Update\Backup3Update.exe

c:\Documents and Settings\Pascalb\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\Pascalb\Bureau\cutepdf-writer_ghostscript_8.15_anglais_26715.exe

c:\Documents and Settings\Pascalb\Bureau\FileZilla_3.0.5.2_win32-setup.exe

c:\Documents and Settings\Pascalb\Bureau\FreewarePrimo32Setup.exe

c:\Documents and Settings\Pascalb\Bureau\Navilog1.exe

c:\Documents and Settings\Pascalb\Bureau\OTMoveIt2.exe

c:\Documents and Settings\Pascalb\Bureau\pdfcreator_pdfcreator_0.9.3_francais_11085.exe

c:\Documents and Settings\Pascalb\Bureau\redeye.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix.exe

c:\Documents and Settings\Pascalb\Bureau\VundoFix.exe

c:\Documents and Settings\Pascalb\Bureau\WHS_ProStation_Setup.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\converter\AVSVideoConverter4.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\converter\AVS.Video.Converter.v4.3.1.371-RES-crk\AVSVideoConverter4.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\converter\AVS.Video.Converter.v4.3.1.371-RES-crk\CaptureWizard.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\craagle\Craagle.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\instmsia.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\instmsiw.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\setup.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\Tools\MkMst.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\Tools\OPDIRDEL.exe

c:\Documents and Settings\Pascalb\Bureau\AUTRES\scansoft-pdf-converter-professionnal_scansoft_pdf_converter_professionnal_3.0_francais_18194\FR_PDF3_Conv_Pro_T&D\PDFProfessional\Tools\Remover.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Pascalb\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\ATF-Cleaner.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\ccleaner_ccleaner_2.04.543_francais_14492.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\HJTInstall.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\jv16-powertools-2007_jv_powertools_2007_1.7.0.422_anglais_10979.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\mwav.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\regcleaner_regcleaner_4.3.0.780_francais_10573.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\spybotsd15.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\autoruns_autoruns_8.73_anglais_15501\autoruns.exe

c:\Documents and Settings\Pascalb\Bureau\JOURNAUX\autoruns_autoruns_8.73_anglais_15501\autorunsc.exe

c:\Documents and Settings\Pascalb\Bureau\raccourcis bureau\Codec_Sniper.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\exit.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\IEDFix.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\Reboot.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\VACFix.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\Pascalb\Bureau\SmitfraudFix\WS2Fix.exe

c:\Documents and Settings\Pascalb\Local Settings\Temp\dotnetfx.exe

c:\Documents and Settings\Pascalb\Local Settings\Temporary Internet Files\Content.IE5\DT871H56\CleanerInstall[1].exe

c:\Documents and Settings\Pascalb\Local Settings\Temporary Internet Files\Content.IE5\TLNWQXM3\ADCFreeInstaller_fr[1].exe

c:\recover\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\auditinfo.exe

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Default\MpEngine.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{74847107-C8B7-4252-8337-5A81C0B17E8D}\mpengine.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\Pascalb\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\FlashPlayerW.dll

c:\Documents and Settings\Pascalb\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\NPSWF32.dll

c:\Documents and Settings\Pascalb\Application Data\Mozilla\Firefox\Profiles\ii27bl5e.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll

c:\Documents and Settings\Pascalb\Application Data\Mozilla\Firefox\Profiles\ii27bl5e.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll

c:\Documents and Settings\Pascalb\Application Data\WH SELFINVEST\WHS ProStation\Update\Backup\ULang.dll

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_PASCAL.tar.gz a l'adresse http://upload.malekal.com

pear · le 5 février 2008

Ce n'est pas fini !

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

Fermer tous les programmes

Télécharger combofix.exe de sUBs

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel:http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

*Double cliquer sur combofix.exe.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé, cela pourrait prendre un certain temps,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

superping · le 5 février 2008

voilà le rapport combofix:

ComboFix 08-02.05.3 - Pascalb 2008-02-05 19:19:02.1 - NTFSx86

Endroit: C:\Documents and Settings\Pascalb\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

The following files were disabled during the run:

C:\WINDOWS\system32\sockspy.dll

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\system32\bfeddeee4_r.dll

C:\WINDOWS\system32\lnnmp.ini

C:\WINDOWS\system32\lnnmp.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\vgtkoucq.ini

----- BITS: Possible sites infect‚s -----

hxxp://www.download.windowsupdate.com

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_DOMAINSERVICE

-------\poof

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-05 to 2008-02-05 ))))))))))))))))))))))))))))))))))))

.

2008-02-05 17:46 . 2008-02-05 17:55 <REP> d-------- C:\Program Files\PDFCreator

2008-02-05 14:19 . 2008-02-05 14:19 299,803 --a------ C:\upload_moi_PASCAL.tar.gz

2008-02-05 02:04 . 2008-02-05 02:04 <REP> d-------- C:\Program Files\GPLGS

2008-02-05 01:32 . 2006-12-11 21:12 176,235 --a------ C:\WINDOWS\system32\Primomonnt.dll

2008-02-05 01:31 . 2008-02-05 01:31 <REP> d-------- C:\WINDOWS\PrimoPDF

2008-02-05 01:31 . 2008-02-05 01:31 <REP> d-------- C:\Program Files\activePDF

2008-02-04 19:59 . 2008-02-04 19:59 <REP> d-------- C:\Program Files\Avira

2008-02-04 19:59 . 2008-02-04 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-04 15:17 . 2008-02-04 15:17 <REP> d-------- C:\_OTMoveIt

2008-02-03 16:39 . 2008-02-05 05:37 <REP> d-------- C:\VundoFix Backups

2008-02-03 15:53 . 2008-02-03 16:10 <REP> d-------- C:\Program Files\Navilog1

2008-02-02 21:35 . 2008-02-02 21:35 <REP> d-------- C:\Program Files\Fichiers communs\xing shared

2008-02-02 21:26 . 2008-02-02 21:28 <REP> d-------- C:\Program Files\QuickTime

2008-02-02 21:05 . 2008-02-02 21:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-02-02 20:25 . 2008-02-02 20:25 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\Apple Computer

2008-02-02 20:18 . 2008-02-05 18:52 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-02-02 20:18 . 2008-02-02 20:18 1,409 --a------ C:\WINDOWS\QTFont.for

2008-02-02 16:24 . 2008-02-02 16:24 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\Talkback

2008-02-02 16:05 . 2008-02-02 16:05 <REP> d-------- C:\Program Files\Windows Defender

2008-02-02 15:34 . 2008-02-02 15:34 <REP> d-------- C:\Program Files\Trend Micro

2008-02-02 01:55 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS

2008-02-02 01:50 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\tgqwdxoqobog.sys

2008-02-02 01:22 . 2008-02-02 01:24 30,590 --a------ C:\WINDOWS\system32\pavas.ico

2008-02-02 01:21 . 2008-02-03 14:01 <REP> d-------- C:\WINDOWS\system32\ActiveScan

2008-02-02 01:20 . 2008-02-02 01:20 23 --a------ C:\WINDOWS\system32\efecbbdccd7_r.ocx

2008-02-02 01:19 . 2008-02-02 01:20 <REP> d-------- C:\Program Files\jv16 PowerTools 2007

2008-02-01 18:57 . 2008-02-01 18:57 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\Grisoft

2008-02-01 18:56 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-02-01 18:55 . 2008-02-01 18:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-31 20:29 . 2008-02-01 20:50 <REP> d-------- C:\Documents and Settings\Pascalb\.housecall6.6

2008-01-31 17:44 . 2008-02-02 20:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-31 16:23 . 2008-01-31 16:23 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-01-31 16:23 . 2008-01-31 17:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-29 14:08 . 2008-01-29 14:08 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\WH SELFINVEST

2008-01-29 01:07 . 2008-01-29 01:07 <REP> d-------- C:\Program Files\Fichiers communs\Bcgsoft

2008-01-29 00:22 . 2008-01-29 00:22 <REP> d-------- C:\Program Files\WHS ProStation

2008-01-29 00:22 . 2006-11-10 20:49 1,802,240 --a------ C:\WINDOWS\system32\BCGCBPRO670u.dll

2008-01-29 00:22 . 2006-11-10 20:49 22,528 --a------ C:\WINDOWS\system32\borlndmm.dll

2008-01-28 11:35 . 2008-02-05 04:43 <REP> d--h----- C:\Program Files\ntsecurity

2008-01-27 18:20 . 2008-01-31 20:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-01-27 18:20 . 2008-01-27 18:21 37,888 --a------ C:\WINDOWS\system32\rar.exe

2008-01-22 18:28 . 2008-01-23 13:38 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\FileZilla

2008-01-22 18:27 . 2008-01-22 18:27 <REP> d-------- C:\Program Files\FileZilla FTP Client

2008-01-22 16:40 . 2008-01-22 16:40 <REP> d-------- C:\Program Files\pdfsam

2008-01-17 19:47 . 2008-01-21 15:19 <REP> d-------- C:\Program Files\Free PDF to Word Doc Converter

2008-01-15 18:42 . 1999-12-17 11:13 86,016 --a------ C:\WINDOWS\unvise32.exe

2008-01-15 18:41 . 2008-01-15 18:42 <REP> d-------- C:\Documents and Settings\Pascalb\Application Data\AppleWorks

2008-01-15 18:41 . 2008-01-15 18:41 82 --a------ C:\WINDOWS\AW6.ini

2008-01-15 18:40 . 2008-01-15 18:40 <REP> d-------- C:\Program Files\Apple Computer

2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx

2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

2008-01-09 16:34 . 2008-01-09 16:34 <REP> d-------- C:\Program Files\Shareaza Applications

2008-01-09 16:34 . 2006-11-12 11:39 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-03 17:56 2,223,104 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp

2008-02-03 14:21 --------- d-----w C:\Program Files\Google

2008-02-03 13:26 --------- d-----w C:\Program Files\PestPatrol

2008-02-03 13:14 24,064 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp

2008-02-03 13:14 2,211,840 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp

2008-02-03 00:33 2,669,568 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2008-02-02 20:33 --------- d-----w C:\Program Files\Fichiers communs\Real

2008-02-02 20:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-02-02 20:06 --------- d-----w C:\Program Files\Apple Software Update

2008-02-02 19:32 --------- d-----w C:\Program Files\Java

2008-02-01 19:26 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-31 22:29 --------- d-----w C:\Program Files\Shareaza

2008-01-02 10:23 6,327,227 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip

2007-12-30 12:06 --------- d-----w C:\Documents and Settings\Pascalb\Application Data\dvdcss

2007-12-29 12:24 --------- d-----w C:\Program Files\Micro Application

2007-01-07 15:36 8 ----a-w C:\Documents and Settings\Pascalb\Application Data\usb.dat.bin

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F33BF10A-7F46-4F2C-B9F8-B8DF064F55DF}]

C:\WINDOWS\system32\pmnnl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 20:05 344064]

"UMonit"="C:\WINDOWS\system32\UMonit.exe" [2005-08-25 12:48 237568]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 12:36 14854144 C:\WINDOWS\RTHDCPL.exe]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]

"SMSERIAL"="sm56hlpr.exe" [2005-07-06 03:47 544768 C:\WINDOWS\sm56hlpr.exe]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-02 21:31 185896]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-04 20:03 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk

backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Pascalb^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]

path=C:\Documents and Settings\Pascalb\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk

backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]

--a------ 2007-02-16 18:49 149024 C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]

--a------ 2007-02-17 17:34 1965736 C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-05 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

C:\Program Files\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]

--a------ 2005-01-07 16:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 00:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-02-01 18:48 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2008-02-02 21:31 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]

--a------ 2007-02-17 17:30 1190064 C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WmiApSrv"=3 (0x3)

"WmdmPmSN"=3 (0x3)

"UPS"=3 (0x3)

"TapiSrv"=3 (0x3)

"SysmonLog"=3 (0x3)

"Spooler"=2 (0x2)

"PolicyAgent"=2 (0x2)

"ImapiService"=3 (0x3)

"Fax"=2 (0x2)

"Eventlog"=2 (0x2)

R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-07-28 09:53]

S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys []

S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2005-08-17 18:25]

S3 flash;flash;C:\WINDOWS\system32\drivers\flash.sys [2005-11-17 14:36]

S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys [2005-07-08 21:40]

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-02-02 20:07:42 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-02-05 18:28:54 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Program Files\Windows Defender\MpCmdRun.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-05 19:28:19

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]

-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]

-> C:\WINDOWS\system32\sockspy.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-05 19:37:37 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-05 18:37:28

.

2008-01-09 23:41:31 --- E O F ---

pear · le 6 février 2008

Bonjour,

Copiez collez ceci dans le bloc notes.

Enregistrez sous CFScript.txt

Files::
C:\WINDOWS\QTFont.qfn

C:\WINDOWS\QTFont.for

C:\WINDOWS\system32\drivers\tgqwdxoqobog.sys

C:\WINDOWS\system32\efecbbdccd7_r.ocx

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F33BF10A-7F46-4F2C-B9F8-B8DF064F55DF}]

C:\WINDOWS\system32\pmnnl.dll

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 6 février 2008 par pear

superping · le 6 février 2008

Rapport:

ComboFix 08-02.05.3 - Pascalb 2008-02-06 15:57:00.2 - NTFSx86

Endroit: C:\Documents and Settings\Pascalb\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Pascalb\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

The following files were disabled during the run:

C:\WINDOWS\system32\sockspy.dll

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))

.

2008-02-05 19:17 . 2004-08-05 13:00 400,896 --a------ C:\kmd.exe