Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] demande analyse HijackThis


 Share

Messages recommandés

bonsoir à l'équipe zebulon.fr

 

le PC portable de mes parents est infecté : lors de la navigation web avec ie ou firefox, des fenêtres de sécurité/pub/jeu apparaissent.

après information, mon père a cliqué sur une fenêtre de sécurité qu'il croyait être celle de windows/norton ... :P

 

j'ai essayé de désinfecter l'ordinateur avec spybot en mode sans échec mais impossible de retrouver une utilisation correcte des navigateurs.

 

De plus j'ai même remarqué que la fenêtre de fausse sécurité avait une icône dans la barre chargement windows.

 

Je vous remercie d'avance pour l'aide que vous pourriez m'apporter.

 

Cordialement.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31:11, on 08/04/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Launch Manager\WButton.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\ProgramData\nizdxicv\ofwlslcn.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE

C:\Windows\system32\wbem\unsecapp.exe

C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE

C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Windows\system32\conime.exe

C:\Program Files\Windows Mail\WinMail.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Users\ordi\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ojdkuyeu] C:\ProgramData\ojdkuyeu\qfyvijix.exe

O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\Windows\TEMP\E_SAFCE.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [5NOEAsuPaW] C:\ProgramData\bsdadmhw\bkbwtsvs.exe

O4 - HKCU\..\Run: [2Ibhanza1E] C:\ProgramData\bsdadmhw\bkbwtsvs.exe

O4 - HKCU\..\Run: [nizdxicv] C:\ProgramData\nizdxicv\ofwlslcn.exe

O4 - HKCU\..\Run: [7C243674620608525F24] Rundll32.exe "C:\Users\ordi\AppData\Local\Temp\vwetcogc.dll",s

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O20 - AppInit_DLLs: eNetHook.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

 

--

End of file - 8783 bytes

Modifié par ced41
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, il y a bien infections.

 

======================================

 

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

 

* Démarrer > Panneau de Configuration

* Double clique sur l'icône Comptes d'utilisateurs

* Clique ensuite sur Désactiver et valide.

* Télécharge maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.

* Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.

* Attends la fin de l'installation.

 

======================================

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

* Sur le menu principal, choisis 1, aucun autre pour le moment.

* Suis les instructions et patiente.

* Patiente jusqu'au message

*** Analyse terminée le ….***
(il se peut que ça prenne un certain temps).

* Appuie sur une touche ainsi que demandé.

* Un document du Bloc-notes est créé : fixnavi.txt.

* Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.

* Referme le Bloc-notes.

 

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, il y a bien infections.

 

======================================

 

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

 

* Démarrer > Panneau de Configuration

* Double clique sur l'icône Comptes d'utilisateurs

* Clique ensuite sur Désactiver et valide.

* Télécharge maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.

* Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.

* Attends la fin de l'installation.

 

======================================

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

* Sur le menu principal, choisis 1, aucun autre pour le moment.

* Suis les instructions et patiente.

* Patiente jusqu'au message (il se peut que ça prenne un certain temps).

* Appuie sur une touche ainsi que demandé.

* Un document du Bloc-notes est créé : fixnavi.txt.

* Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.

* Referme le Bloc-notes.

 

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

 

merci Falkra

 

Search Navipromo version 3.5.2 commencé le 08/04/2008 à 22:03:31,82

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "ordi"

 

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6001

Internet Explorer : 7.0.6001.18000

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\Windows ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

*** Recherche dossiers dans C:\ProgramData ***

 

 

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

 

 

*** Recherche dossiers dans c:\users\ordi\appdata\roaming\microsoft\windows\start menu\programs ***

 

 

*** Recherche dossiers dans C:\Users\ordi\AppData\Local\virtualstore\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Users\ordi\AppData\Roaming ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\Windows\system32 *

 

* Recherche dans C:\Users\ordi\AppData\Local\Microsoft *

 

* Recherche dans C:\Users\ordi\AppData\Local *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\Windows\system32 :

 

 

* Dans C:\Users\ordi\AppData\Local\Microsoft :

 

 

* Dans C:\Users\ordi\AppData\Local :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 08/04/2008 à 22:13:42,99 ***

Lien vers le commentaire
Partager sur d’autres sites

Erf, nada là dedans, relativement logique, je cherchais dans les "à côté".

 

Suite, si c'est vide, on fera ça au bazooka (en visant avec précision). :P

 

Télécharge VundoFix.exe (par Atribune) sur ton bureau :

http://www.atribune.org/ccount/click.php?id=4

 

* Double-clique VundoFix.exe pour le lancer.

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est terminé, clique sur le bouton Fix Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après, le bureau disparaîtra un moment, c'est normal.

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

 

Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

Lien vers le commentaire
Partager sur d’autres sites

Erf, nada là dedans, relativement logique, je cherchais dans les "à côté".

 

Suite, si c'est vide, on fera ça au bazooka (en visant avec précision). :P

 

Télécharge VundoFix.exe (par Atribune) sur ton bureau :

http://www.atribune.org/ccount/click.php?id=4

 

* Double-clique VundoFix.exe pour le lancer.

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est terminé, clique sur le bouton Fix Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après, le bureau disparaîtra un moment, c'est normal.

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

 

Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

 

encore merci Falkra ! :P

 

le scan de VundoFix n'a rien trouvé, ainsi impossible de lancer le fix.

Lien vers le commentaire
Partager sur d’autres sites

Impossible de le lancer, ou il ne trouve rien ? S'il ne trouve rien c'est qu'il s'est lancé ?

 

Fais par clic droit exécuter en tant que... administrateur (car tu as réactivé l'UAC, ce qui est bien, d'ailleurs).

Lien vers le commentaire
Partager sur d’autres sites

Impossible de le lancer, ou il ne trouve rien ? S'il ne trouve rien c'est qu'il s'est lancé ?

 

Fais par clic droit exécuter en tant que... administrateur (car tu as réactivé l'UAC, ce qui est bien, d'ailleurs).

 

ok. en fait je l'ai bien lancé en tant qu'administrateur je te donne le rapport :

 

VundoFix V7.0.3

 

Scan started at 23:01:13 08/04/2008

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

VundoFix V7.0.3

 

Scan started at 23:23:32 08/04/2008

 

Listing files found while scanning....

 

il s'est donc bien lancé.

Lien vers le commentaire
Partager sur d’autres sites

Ok, on va faire ça "à l'ancienne", avec les nouveaux moyens, pour ainsi dire.

 

Il va me falloir deux rapports, DiagHelp, puis ComboFix.

Sépare les rapports, tu peux faire deux posts consécutifs, pas de problème ici.

 

=====================

Partie DiagHelp :

=====================

 

Désactive l'UAC. (réactivation mentionnée plus bas)

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse-le, sur ton bureau par exemple.
  • Un nouveau dossier chercher va être créé DiagHelp.
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  • :!: Le rapport est sauvegardé dans c:\resultat.txt si jamais tu fermes le bloc notes. Il faudra aller le chercher là sinon, le rapport n'est pas sur le bureau.
     
    NB : si un antivirus détecte Troj/INJECT MF ou non approchant choisis "ignorer" c'est une fausse alerte.
    NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.

 

=====================

Partie ComboFix

=====================

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  • Lorsque l'analyse sera complétée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

=====================

 

Réactive l'UAC.

 

 

@ toute :P

Lien vers le commentaire
Partager sur d’autres sites

Ok, on va faire ça "à l'ancienne", avec les nouveaux moyens, pour ainsi dire.

 

Il va me falloir deux rapports, DiagHelp, puis ComboFix.

Sépare les rapports, tu peux faire deux posts consécutifs, pas de problème ici.

 

=====================

Partie DiagHelp :

=====================

 

Désactive l'UAC. (réactivation mentionnée plus bas)

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse-le, sur ton bureau par exemple.
  • Un nouveau dossier chercher va être créé DiagHelp.
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  • :!: Le rapport est sauvegardé dans c:\resultat.txt si jamais tu fermes le bloc notes. Il faudra aller le chercher là sinon, le rapport n'est pas sur le bureau.
     
    NB : si un antivirus détecte Troj/INJECT MF ou non approchant choisis "ignorer" c'est une fausse alerte.
    NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.

 

=====================

Partie ComboFix

=====================

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  • Lorsque l'analyse sera complétée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

=====================

 

Réactive l'UAC.

 

 

@ toute :P

 

voilà le rapport diaghelp

DiagHelp version v1.4 - http://www.malekal.com

excute le 08/04/2008 à 23:48:54,58

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\Windows\prefetch\CMD.EXE-4A81B364.pf -->08/04/2008 23:48:49

C:\Windows\prefetch\CHCP.COM-61043047.pf -->08/04/2008 23:48:49

C:\Windows\prefetch\SEARCHFILTERHOST.EXE-77482212.pf -->08/04/2008 23:48:22

C:\Windows\prefetch\DLLHOST.EXE-5E46FA0D.pf -->08/04/2008 23:48:19

C:\Windows\prefetch\SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf -->08/04/2008 23:46:16

C:\Windows\prefetch\VERCLSID.EXE-7C52E31C.pf -->08/04/2008 23:46:05

C:\Windows\prefetch\NOTEPAD.EXE-D8414F97.pf -->08/04/2008 23:35:06

C:\Windows\prefetch\FIREFOX.EXE-A606B53C.pf -->08/04/2008 23:30:42

C:\Windows\prefetch\IEXPLORE.EXE-908C99F8.pf -->08/04/2008 23:30:29

C:\Windows\prefetch\TASKMGR.EXE-5F5F473D.pf -->08/04/2008 23:30:16

 

C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf -->04/04/2008 21:58:10

C:\Windows\System32\drivers\SymRedir.inf -->07/03/2008 14:40:48

C:\Windows\System32\drivers\SymRedir.cat -->07/03/2008 14:40:48

C:\Windows\System32\drivers\symndisv.sys -->07/03/2008 14:39:58

C:\Windows\System32\drivers\symtdi.sys -->07/03/2008 14:39:54

C:\Windows\System32\drivers\symredrv.sys -->07/03/2008 14:39:54

C:\Windows\System32\drivers\symids.sys -->07/03/2008 14:39:54

 

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 -->08/04/2008 22:55:23

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 -->08/04/2008 22:55:23

C:\Windows\System32\perfh00C.dat -->08/04/2008 22:00:57

C:\Windows\System32\perfh009.dat -->08/04/2008 22:00:57

C:\Windows\System32\perfc00C.dat -->08/04/2008 22:00:57

C:\Windows\System32\perfc009.dat -->08/04/2008 22:00:57

C:\Windows\System32\PerfStringBackup.INI -->08/04/2008 22:00:56

C:\Windows\System32\FNTCACHE.DAT -->04/04/2008 19:02:02

C:\Windows\System32\ifxcardm.dll -->04/04/2008 18:12:32

C:\Windows\System32\axaltocm.dll -->04/04/2008 18:12:11

C:\Windows\System32\mrt.exe -->05/03/2008 18:30:54

C:\Windows\System32\kbd106n.dll -->14/02/2008 04:09:12

C:\Windows\System32\winload.exe -->19/01/2008 09:44:08

C:\Windows\System32\winresume.exe -->19/01/2008 09:44:06

C:\Windows\System32\ntkrnlpa.exe -->19/01/2008 09:43:48

C:\Windows\System32\ntoskrnl.exe -->19/01/2008 09:43:47

C:\Windows\System32\ci.dll -->19/01/2008 09:43:38

C:\Windows\System32\mcupdate_GenuineIntel.dll -->19/01/2008 09:43:14

C:\Windows\System32\clfs.sys -->19/01/2008 09:42:58

C:\Windows\System32\MigAutoPlay.exe -->19/01/2008 09:42:51

C:\Windows\System32\halmacpi.dll -->19/01/2008 09:42:34

C:\Windows\System32\hal.dll -->19/01/2008 09:42:34

C:\Windows\System32\PSHED.DLL -->19/01/2008 09:42:18

C:\Windows\System32\halacpi.dll -->19/01/2008 09:42:12

C:\Windows\System32\BOOTVID.DLL -->19/01/2008 09:41:34

 

C:\Windows\WindowsUpdate.log -->08/04/2008 21:57:41

C:\Windows\bootstat.dat -->08/04/2008 21:54:08

C:\Windows\setupact.log -->04/04/2008 21:58:10

C:\Windows\setuperr.log -->04/04/2008 21:30:03

C:\Windows\nsreg.dat -->04/04/2008 19:48:20

C:\Windows\WindowsShell.Manifest -->04/04/2008 19:08:26

C:\Windows\regedit.exe -->19/01/2008 09:33:24

C:\Windows\notepad.exe -->19/01/2008 09:33:18

C:\Windows\HelpPane.exe -->19/01/2008 09:33:11

C:\Windows\fveupdate.exe -->19/01/2008 09:33:11

C:\Windows\explorer.exe -->19/01/2008 09:33:10

C:\Windows\bfsvc.exe -->19/01/2008 09:33:01

C:\Windows\ODBCINST.INI -->14/10/2007 18:25:27

C:\Windows\CDE DX6000EFDG.ini -->12/10/2007 16:23:09

C:\Windows\User.xml -->11/10/2007 20:00:33

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 5836

Command line: explorer.exe

 

Base Size Version Path

0x00f20000 0x2cd000 6.00.6001.18000 C:\Windows\explorer.exe

0x76e80000 0x127000 6.00.6001.18000 C:\Windows\system32\ntdll.dll

0x75850000 0xdb000 6.00.6001.18000 C:\Windows\system32\kernel32.dll

0x76250000 0xc6000 6.00.6001.18000 C:\Windows\system32\ADVAPI32.dll

0x77010000 0xc3000 6.00.6001.18000 C:\Windows\system32\RPCRT4.dll

0x76320000 0x4b000 6.00.6001.18000 C:\Windows\system32\GDI32.dll

0x75990000 0x9d000 6.00.6001.18000 C:\Windows\system32\USER32.dll

0x760d0000 0xaa000 7.00.6001.18000 C:\Windows\system32\msvcrt.dll

0x75930000 0x58000 6.00.6001.18000 C:\Windows\system32\SHLWAPI.dll

0x76370000 0xb0f000 6.00.6001.18000 C:\Windows\system32\SHELL32.dll

0x75700000 0x144000 6.00.6001.18000 C:\Windows\system32\ole32.dll

0x75e60000 0x8d000 6.00.6001.18000 C:\Windows\system32\OLEAUT32.dll

0x71f20000 0x107000 6.00.6001.18000 C:\Windows\system32\SHDOCVW.dll

0x743e0000 0x3f000 6.00.6001.18000 C:\Windows\system32\UxTheme.dll

0x74860000 0x1a000 6.00.6001.18000 C:\Windows\system32\POWRPROF.dll

0x72660000 0xc000 6.00.6001.18000 C:\Windows\system32\dwmapi.dll

0x74080000 0x1ab000 5.02.6001.18000 C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18000_none_9e752e5a

c9c619f3\gdiplus.dll

0x74e20000 0x3a000 6.00.6001.18000 C:\Windows\system32\slc.dll

0x73c60000 0xba000 6.00.6001.18000 C:\Windows\system32\PROPSYS.dll

0x71dc0000 0x146000 6.00.6001.18000 C:\Windows\system32\BROWSEUI.dll

0x75ca0000 0x1e000 6.00.6001.18000 C:\Windows\system32\IMM32.dll

0x75d10000 0xc8000 6.00.6001.18000 C:\Windows\system32\MSCTF.dll

0x743b0000 0x30000 6.00.6001.18000 C:\Windows\system32\DUser.dll

0x76fc0000 0x9000 6.00.6001.18000 C:\Windows\system32\LPK.DLL

0x75de0000 0x7d000 1.626.6001.18000 C:\Windows\system32\USP10.dll

0x10000000 0x18000 2.06.0003.0002 C:\Windows\system32\eNetHook.dll

0x75190000 0x19e000 6.10.6001.18000 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll

0x73590000 0xb3000 6.00.6001.18000 C:\Windows\system32\WindowsCodecs.dll

0x71d70000 0x6000 6.00.6000.16386 C:\Windows\system32\IconCodecService.dll

0x75590000 0x14000 6.00.6001.18000 C:\Windows\system32\Secur32.dll

0x75c10000 0x84000 2001.12.6931.18000 C:\Windows\system32\CLBCatQ.DLL

0x74900000 0x3b000 6.00.6001.18000 C:\Windows\system32\rsaenh.dll

0x70af0000 0xb2000 6.00.6001.18000 C:\Windows\system32\timedate.cpl

0x73c20000 0x14000 3.05.2284.0000 C:\Windows\system32\ATL.DLL

0x75090000 0x75000 6.00.6001.18000 C:\Windows\system32\NETAPI32.dll

0x75660000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL

0x73e50000 0x39000 4.02.5406.0000 C:\Windows\system32\OLEACC.dll

0x71c00000 0x53000 6.00.6001.18000 C:\Windows\System32\actxprxy.dll

0x755b0000 0x1e000 6.00.6001.18000 C:\Windows\system32\USERENV.dll

0x71d90000 0x2b000 6.00.6001.18000 C:\Windows\system32\msutb.dll

0x74780000 0xa000 6.00.6001.18000 C:\Windows\system32\WTSAPI32.dll

0x749c0000 0xd7000 6.00.6000.16386 C:\Windows\system32\WINBRAND.dll

0x724c0000 0x9000 6.00.6000.16386 C:\Windows\system32\LINKINFO.dll

0x74fe0000 0x11000 6.00.6001.18000 C:\Windows\system32\SAMLIB.dll

0x70c70000 0x5ce000 7.00.6001.18000 C:\Windows\system32\ieframe.dll

0x75cc0000 0x45000 7.00.6001.18000 C:\Windows\system32\iertutil.dll

0x75530000 0x2c000 6.00.6001.18000 C:\Windows\system32\apphelp.dll

0x717b0000 0x4a000 6.00.6001.18000 C:\Windows\system32\ntshrui.dll

0x717a0000 0xb000 6.00.6001.18000 C:\Windows\system32\cscapi.dll

0x74880000 0x21000 6.00.6001.18000 C:\Windows\system32\NTMARTA.DLL

0x75bc0000 0x4a000 6.00.6001.18000 C:\Windows\system32\WLDAP32.dll

0x76020000 0x2d000 6.00.6001.18000 C:\Windows\system32\WS2_32.dll

0x76fd0000 0x6000 6.00.6001.18000 C:\Windows\system32\NSI.dll

0x696c0000 0x223000 6.00.6001.18000 C:\Windows\system32\NetworkExplorer.dll

0x71d60000 0x9000 6.00.6001.18000 C:\Windows\system32\ExplorerFrame.dll

0x75ef0000 0x128000 7.00.6001.18000 C:\Windows\system32\urlmon.dll

0x76180000 0xcf000 7.00.6001.18000 C:\Windows\system32\WININET.dll

0x76fb0000 0x3000 6.00.6000.16386 C:\Windows\system32\Normaliz.dll

0x036f0000 0x8000 0.09.0007.0003 C:\Acer\Empowering Technology\EPOWER\SysHook.dll

0x70920000 0x11b000 6.06.8063.0000 C:\Windows\system32\MFC42.DLL

0x74460000 0x65000 6.00.6001.18000 C:\Windows\system32\ODBC32.dll

0x76050000 0x73000 6.00.6001.18000 C:\Windows\system32\COMDLG32.dll

0x73d20000 0x38000 6.00.6000.16386 C:\Windows\system32\odbcint.dll

0x71840000 0x7000 4.00.6000.16386 C:\Windows\system32\msiltcfg.dll

0x74bf0000 0x8000 6.00.6001.18000 C:\Windows\system32\VERSION.dll

0x72950000 0x202000 4.00.6001.18000 C:\Windows\system32\msi.dll

0x70a50000 0x92000 6.00.6001.18000 C:\Windows\system32\stobject.dll

0x70bb0000 0xb6000 6.00.6000.16386 C:\Windows\system32\BatMeter.dll

0x75a30000 0x18a000 6.00.6001.18000 C:\Windows\system32\SETUPAPI.dll

0x75050000 0x25000 6.00.6001.18000 C:\Windows\system32\WINSTA.dll

0x74270000 0x2d000 6.00.6001.18000 C:\Windows\system32\WINTRUST.dll

0x74e60000 0xf1000 6.00.6001.18000 C:\Windows\system32\CRYPT32.dll

0x74fc0000 0x12000 6.00.6000.16386 C:\Windows\system32\MSASN1.dll

0x76fe0000 0x29000 6.00.6001.18000 C:\Windows\system32\imagehlp.dll

0x73650000 0x45000 2001.12.6931.18000 C:\Windows\system32\es.dll

0x70530000 0x30000 6.00.6000.16386 C:\Windows\System32\SndVolSSO.dll

0x746b0000 0x27000 6.00.6001.18000 C:\Windows\System32\MMDevApi.dll

0x73990000 0x21000 6.00.6001.18000 C:\Windows\system32\AUDIOSES.DLL

0x73770000 0x66000 6.00.6001.18000 C:\Windows\system32\audioeng.dll

0x73ed0000 0x7000 6.00.6001.18000 C:\Windows\system32\AVRT.dll

0x70420000 0x21000 6.00.6000.16386 C:\Windows\ehome\ehSSO.dll

0x738d0000 0x9000 6.00.6000.16386 C:\Windows\system32\HID.DLL

0x6fb70000 0x30b000 6.00.6001.18000 C:\Windows\System32\netshell.dll

0x74dc0000 0x19000 6.00.6001.18000 C:\Windows\System32\IPHLPAPI.DLL

0x74d80000 0x35000 6.00.6001.18000 C:\Windows\System32\dhcpcsvc.DLL

0x75000000 0x2c000 6.00.6001.18000 C:\Windows\System32\DNSAPI.dll

0x74d70000 0x7000 6.00.6001.18000 C:\Windows\System32\WINNSI.DLL

0x74d10000 0x21000 6.00.6001.18000 C:\Windows\System32\dhcpcsvc6.DLL

0x73d60000 0xf000 6.00.6001.18000 C:\Windows\System32\nlaapi.dll

0x6e6d0000 0x1bf000 6.00.6001.18000 C:\Windows\system32\pnidui.dll

0x74660000 0x17000 6.00.6001.18000 C:\Windows\system32\QUtil.dll

0x74de0000 0x40000 6.00.6001.18000 C:\Windows\system32\wevtapi.dll

0x72ee0000 0x6000 6.00.6000.16386 C:\Windows\system32\wlanutil.dll

0x74790000 0x66000 6.00.6001.18000 C:\Windows\system32\FirewallAPI.dll

0x6f4d0000 0x8000 6.00.6000.16386 C:\Windows\System32\npmproxy.dll

0x714b0000 0x27000 6.00.6001.18000 C:\Windows\system32\FunDisc.dll

0x71830000 0x9000 6.00.6000.16386 C:\Windows\system32\fdproxy.dll

0x70400000 0x12000 6.00.6001.18000 C:\Windows\system32\Wlanapi.dll

0x72f50000 0x17c000 6.00.6001.18000 C:\Windows\system32\OneX.DLL

0x73230000 0xe000 6.00.6001.18000 C:\Windows\system32\eappprxy.dll

0x72f20000 0x24000 6.00.6001.18000 C:\Windows\system32\eappcfg.dll

0x74c80000 0x45000 6.00.6001.18000 C:\Windows\system32\bcrypt.dll

0x71d50000 0xd000 6.00.6000.16386 C:\Windows\System32\AltTab.dll

0x70380000 0x23000 6.00.6001.18000 C:\Windows\system32\wpdshserviceobj.dll

0x72670000 0x5f000 6.00.6001.18000 C:\Windows\system32\WINHTTP.dll

0x702e0000 0x43000 6.00.6001.18000 C:\Windows\System32\srchadmin.dll

0x702a0000 0x3c000 7.00.6001.18000 C:\Windows\system32\webcheck.dll

0x694a0000 0x21c000 6.00.6001.18000 C:\Windows\System32\SyncCenter.dll

0x70340000 0x39000 6.00.6001.18000 C:\Windows\system32\wscntfy.dll

0x71d80000 0xb000 6.00.6001.18000 C:\Windows\system32\WSCAPI.dll

0x74540000 0x2e000 6.00.6001.18000 C:\Windows\System32\QAgent.dll

0x726d0000 0x96000 6.00.6001.18000 C:\Windows\System32\fwpuclnt.dll

0x6e300000 0x51000 6.00.6001.18000 C:\Windows\system32\imapi2.dll

0x6f520000 0xb000 6.00.6001.18000 C:\Windows\system32\mssprxy.dll

0x6e960000 0x2b000 6.00.6001.18000 C:\Windows\system32\PortableDeviceTypes.dll

0x71ac0000 0x46000 6.00.6001.18000 C:\Windows\system32\PortableDeviceApi.dll

0x72eb0000 0xb000 6.00.6001.18000 C:\Windows\system32\wbem\wbemprox.dll

0x72da0000 0x5b000 6.00.6001.18000 C:\Windows\system32\wbemcomn.dll

0x6f1c0000 0x10000 6.00.6001.18000 C:\Windows\system32\wbem\wbemsvc.dll

0x6edb0000 0x99000 6.00.6001.18000 C:\Windows\system32\wbem\fastprox.dll

0x74fa0000 0x18000 6.00.6001.18000 C:\Windows\system32\NTDSAPI.dll

0x754d0000 0x5f000 6.00.6001.18000 C:\Windows\system32\SXS.DLL

0x6be10000 0xf9000 6.00.6001.18000 C:\Windows\system32\bthprops.cpl

0x74f60000 0x14000 6.00.6001.18000 C:\Windows\system32\MPR.dll

0x6a000000 0x29000 14.01.0000.0027 c:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll

0x7c340000 0x56000 7.10.3052.0004 C:\Windows\system32\MSVCR71.dll

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Windows\system32\MSVCP71.dll

0x6b770000 0x1f000 106.01.0001.0004 c:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll

0x6ae70000 0x85000 106.01.0001.0004 c:\Program Files\Common Files\Symantec Shared\ccL60U.dll

0x72ec0000 0x7000 6.00.6001.18000 C:\Windows\system32\WSOCK32.dll

0x00e80000 0x4000 c:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.loc

0x03550000 0x13000 1.01.0000.0000 C:\Program Files\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll

0x041d0000 0x4f000 2.05.3024.0020 C:\Windows\system32\eDSshellExt.dll

0x04450000 0x64000 2.02.0000.0034 C:\Windows\system32\CryptoAPI.dll

0x74570000 0x9b000 8.00.50727.1434 C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.1434_none_d08b6002442c891

f\MSVCR80.dll

0x73de0000 0x2e000 6.00.6001.18000 C:\Windows\system32\syncui.dll

0x73e20000 0x16000 6.00.6001.18000 C:\Windows\system32\SYNCENG.dll

0x73c40000 0x15000 6.00.6001.18000 C:\Windows\system32\Cabinet.dll

0x71420000 0x8a000 6.00.6001.18000 C:\Windows\system32\prnntfy.dll

0x71b10000 0x42000 6.00.6001.18000 C:\Windows\system32\WINSPOOL.DRV

0x73db0000 0x2c000 6.00.6001.18000 C:\Windows\system32\puiapi.dll

0x72550000 0x35000 6.00.6001.18000 C:\Windows\system32\ACTIVEDS.dll

0x72510000 0x33000 6.00.6001.18000 C:\Windows\system32\adsldpc.dll

0x72470000 0x2e000 6.00.6001.18000 C:\Windows\system32\credui.dll

0x713d0000 0x4d000 6.00.6001.18000 C:\Windows\system32\puiobj.dll

0x6e930000 0x30000 6.00.6001.18000 C:\Windows\system32\MLANG.dll

0x04180000 0x4a000 2.05.3021.0107 C:\Windows\system32\sysenv.dll

0x03a80000 0xe000 7.00.0000.1333 c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

0x73e90000 0x32000 6.00.6001.18000 C:\Windows\system32\WINMM.dll

0x739f0000 0x2f000 6.00.6001.18000 C:\Windows\system32\wdmaud.drv

0x73e40000 0x4000 6.00.6000.16386 C:\Windows\system32\ksuser.dll

0x73bf0000 0x9000 6.00.6001.18000 C:\Windows\system32\msacm32.drv

0x738e0000 0x14000 6.00.6001.18000 C:\Windows\system32\MSACM32.dll

0x73be0000 0x7000 6.00.6001.18000 C:\Windows\system32\midimap.dll

0x79000000 0x46000 2.00.50727.1434 C:\Windows\system32\mscoree.dll

0x641f0000 0x1e000 2.00.50727.1434 C:\Windows\Microsoft.NET\Framework\v2.0.50727\Shfusion.dll

0x60610000 0x6000 2.00.50727.1434 C:\Windows\Microsoft.NET\Framework\v2.0.50727\Fusion.dll

0x60340000 0x8000 2.00.50727.1434 C:\Windows\Microsoft.NET\Framework\v2.0.50727\culture.dll

0x64220000 0x18000 2.00.50727.1434 C:\Windows\Microsoft.NET\Framework\v2.0.50727\fr\ShFusRes.dll

0x6f7c0000 0x57000 6.00.6001.18000 C:\Windows\system32\zipfldr.dll

0x71cf0000 0x16000 1.01.1600.0000 C:\Program Files\Windows Defender\MpOav.dll

0x6f8f0000 0x60000 6.00.6001.18000 C:\Program Files\Common Files\microsoft shared\ink\tiptsf.dll

0x03a10000 0x27000 2.05.3022.0014 C:\Windows\system32\eDStoolbar.dll

0x7c630000 0x1b000 8.00.50727.0042 C:\Windows\WinSxS\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.42_none_dc990e4797f81af1\ATL80.DLL

0x043b0000 0x4b000 3.00.0000.0002 C:\Windows\system32\ActiveToolBand.dll

0x74680000 0x2f000 1.02.1009.0000 C:\Windows\system32\xmllite.dll

0x6da60000 0x16000 6.00.6001.18000 C:\Windows\system32\thumbcache.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 696

Command line: winlogon.exe

 

Base Size Version Path

0x004b0000 0x50000 6.00.6001.18000 C:\Windows\system32\winlogon.exe

0x76e80000 0x127000 6.00.6001.18000 C:\Windows\system32\ntdll.dll

0x75850000 0xdb000 6.00.6001.18000 C:\Windows\system32\kernel32.dll

0x76250000 0xc6000 6.00.6001.18000 C:\Windows\system32\ADVAPI32.dll

0x77010000 0xc3000 6.00.6001.18000 C:\Windows\system32\RPCRT4.dll

0x75990000 0x9d000 6.00.6001.18000 C:\Windows\system32\USER32.dll

0x76320000 0x4b000 6.00.6001.18000 C:\Windows\system32\GDI32.dll

0x760d0000 0xaa000 7.00.6001.18000 C:\Windows\system32\msvcrt.dll

0x75590000 0x14000 6.00.6001.18000 C:\Windows\system32\Secur32.dll

0x75050000 0x25000 6.00.6001.18000 C:\Windows\system32\WINSTA.dll

0x75660000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL

0x755b0000 0x1e000 6.00.6001.18000 C:\Windows\system32\USERENV.dll

0x75ca0000 0x1e000 6.00.6001.18000 C:\Windows\system32\IMM32.DLL

0x75d10000 0xc8000 6.00.6001.18000 C:\Windows\system32\MSCTF.dll

0x76fc0000 0x9000 6.00.6001.18000 C:\Windows\system32\LPK.DLL

0x75de0000 0x7d000 1.626.6001.18000 C:\Windows\system32\USP10.dll

0x10000000 0x18000 2.06.0003.0002 C:\Windows\system32\eNetHook.dll

0x75930000 0x58000 6.00.6001.18000 C:\Windows\system32\SHLWAPI.dll

0x75190000 0x19e000 6.10.6001.18000 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll

0x75530000 0x2c000 6.00.6001.18000 C:\Windows\system32\apphelp.dll

0x74880000 0x21000 6.00.6001.18000 C:\Windows\system32\NTMARTA.DLL

0x75bc0000 0x4a000 6.00.6001.18000 C:\Windows\system32\WLDAP32.dll

0x76020000 0x2d000 6.00.6001.18000 C:\Windows\system32\WS2_32.dll

0x76fd0000 0x6000 6.00.6001.18000 C:\Windows\system32\NSI.dll

0x74fe0000 0x11000 6.00.6001.18000 C:\Windows\system32\SAMLIB.dll

0x75700000 0x144000 6.00.6001.18000 C:\Windows\system32\ole32.dll

0x736f0000 0x3e000 6.00.6001.18000 C:\Windows\system32\SHSVCS.dll

0x743e0000 0x3f000 6.00.6001.18000 C:\Windows\system32\uxtheme.dll

0x74900000 0x3b000 6.00.6001.18000 C:\Windows\system32\rsaenh.dll

0x73590000 0xb3000 6.00.6001.18000 C:\Windows\system32\WindowsCodecs.dll

0x75090000 0x75000 6.00.6001.18000 C:\Windows\system32\NETAPI32.dll

0x74e20000 0x3a000 6.00.6001.18000 C:\Windows\system32\slc.dll

0x74f60000 0x14000 6.00.6001.18000 C:\Windows\system32\MPR.dll

 

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\Windows\system32

 

19/01/2008 09:33 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 37 220 073 472 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\Windows\Downloaded Program Files

 

04/04/2008 17:38 <REP> .

04/04/2008 17:38 <REP> ..

25/03/2008 18:13 124 208 as2stubie.dll

07/03/2008 08:56 395 as2stubie.inf

18/09/2006 23:26 65 desktop.ini

25/07/2002 17:13 24 576 dwusplay.dll

25/07/2002 17:13 196 608 dwusplay.exe

11/08/2005 15:30 417 792 isusweb.dll

18/07/2007 13:49 12 592 libcomm.dll

7 fichier(s) 776 236 octets

 

Total des fichiers listés :

7 fichier(s) 776 236 octets

2 Rép(s) 37 220 069 376 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

 

 

 

exports des policies

REGEDIT4

 

[system]

"ConsentPromptBehaviorAdmin"=dword:00000002

"ConsentPromptBehaviorUser"=dword:00000001

"EnableInstallerDetection"=dword:00000001

"EnableLUA"=dword:00000000

"EnableSecureUIAPaths"=dword:00000001

"EnableVirtualization"=dword:00000001

"PromptOnSecureDesktop"=dword:00000001

"ValidateAdminCodeSignatures"=dword:00000000

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"scforceoption"=dword:00000000

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"FilterAdministratorToken"=dword:00000000

"EnableUIADesktopToggle"=dword:00000000

 

[system\UIPI]

 

[system\UIPI\Clipboard]

 

[system\UIPI\Clipboard\ExceptionFormats]

"CF_TEXT"=dword:00000001

"CF_BITMAP"=dword:00000002

"CF_OEMTEXT"=dword:00000007

"CF_DIB"=dword:00000008

"CF_PALETTE"=dword:00000009

"CF_UNICODETEXT"=dword:0000000d

"CF_DIBV5"=dword:00000011

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

127.0.0.1 activexupdate.com

127.0.0.1 www.activexupdate.com

127.0.0.1 www.antispywareupdates.net

127.0.0.1 antispywareupdates.net

127.0.0.1 www.avpcheckupdate.com

127.0.0.1 avpcheckupdate.com

127.0.0.1 client.exeupdate.com

127.0.0.1 eupdatepage.com

127.0.0.1 www.eupdatepage.com

127.0.0.1 www.exeupdate.com

127.0.0.1 exeupdate.com

127.0.0.1 www.hotwinupdates.com

127.0.0.1 hotwinupdates.com

127.0.0.1 www.lavasoftupdate.com

127.0.0.1 lavasoftupdate.com

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 malwarewipeupdate.com

127.0.0.1 www.msupdate.net

127.0.0.1 msupdate.net

127.0.0.1 www.msupdater.net

127.0.0.1 msupdater.net

127.0.0.1 www.necessaryupdates.com

127.0.0.1 necessaryupdates.com

127.0.0.1 newupdates.lzio.com

127.0.0.1 redirect.msupdate.net

127.0.0.1 search.keyword.exeupdate.com

127.0.0.1 securityupdatesite.com

127.0.0.1 www.securityupdatesite.com

127.0.0.1 settings.updatemysettings.com

127.0.0.1 www.spyaxeupdate.com

127.0.0.1 spyaxeupdate.com

127.0.0.1 spyfalconupdate.com

127.0.0.1 www.spyfalconupdate.com

127.0.0.1 www.systemupdates.net

127.0.0.1 systemupdates.net

127.0.0.1 trial.updates.winsoftware.com

127.0.0.1 update.680180.net

127.0.0.1 update.shareaza.com

127.0.0.1 www.updatemysettings.com

127.0.0.1 updatemysettings.com

127.0.0.1 updates.spywarequake.com

127.0.0.1 www.urgentsystemupdate.biz

127.0.0.1 urgentsystemupdate.biz

127.0.0.1 www.urgentsystemupdate.com

127.0.0.1 urgentsystemupdate.com

127.0.0.1 windupdates.com

127.0.0.1 www.pandaantivirus-2007.com

127.0.0.1 pandaantivirus-2007.com

127.0.0.1 www.pandadownload-now.com

127.0.0.1 pandadownload-now.com

127.0.0.1 www.panda-hq.com

127.0.0.1 panda-hq.com

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-08 23:49:25

Windows 6.0.6001 Service Pack 1 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Sorry, this version supports only Win2K/XP

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Sorry, this version supports only Win2K/XP

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\Program Files

 

08/04/2008 21:59 <REP> .

08/04/2008 21:59 <REP> ..

14/10/2007 18:33 540 _DEISREG.ISR

24/06/1999 11:24 49 152 _ISREG32.DLL

12/10/2007 16:32 <REP> ABBYY FineReader 6.0 Sprint

10/12/2006 12:33 <REP> Acer Arcade Deluxe

11/10/2007 19:55 <REP> Acer Inc

10/12/2006 12:26 <REP> Adobe

12/10/2007 17:44 <REP> adslTV

14/10/2007 18:25 <REP> Borland

04/04/2008 16:13 <REP> CCleaner

14/10/2007 18:26 <REP> Common Files

10/12/2006 12:35 <REP> CyberLink

12/10/2007 16:33 <REP> epson

25/12/2007 16:34 <REP> Google

02/12/2006 20:41 <REP> Intel

04/04/2008 18:56 <REP> Internet Explorer

14/10/2007 18:46 <REP> Java

27/03/2007 09:10 <REP> Launch Manager

02/11/2006 14:37 <REP> Microsoft Games

04/04/2008 18:56 <REP> Movie Maker

04/04/2008 19:48 <REP> Mozilla Firefox

02/11/2006 14:37 <REP> MSBuild

11/10/2007 20:23 <REP> MSXML 4.0

08/04/2008 22:43 <REP> Navilog1

10/12/2006 12:34 <REP> NewTech Infosystems

22/11/2007 09:58 <REP> Norton Internet Security

12/10/2007 18:18 <REP> OpenOffice.org 2.3

04/04/2008 17:40 <REP> Panda Security

02/12/2006 20:50 <REP> Realtek

02/11/2006 14:37 <REP> Reference Assemblies

04/04/2008 16:23 <REP> Spybot - Search & Destroy

04/04/2008 19:29 <REP> SpywareBlaster

12/12/2007 21:16 <REP> Symantec

02/12/2006 20:58 <REP> Synaptics

04/04/2008 18:56 <REP> Windows Calendar

04/04/2008 18:56 <REP> Windows Collaboration

04/04/2008 18:56 <REP> Windows Defender

04/04/2008 18:56 <REP> Windows Journal

04/04/2008 18:56 <REP> Windows Mail

04/04/2008 18:56 <REP> Windows Media Player

11/10/2007 19:50 <REP> Windows NT

04/04/2008 18:56 <REP> Windows Photo Gallery

04/04/2008 18:56 <REP> Windows Sidebar

11/10/2007 19:55 <REP> Yahoo!

2 fichier(s) 49 692 octets

43 Rép(s) 37 202 178 048 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\Program Files\fichiers communs

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\Program Files\common files

 

14/10/2007 18:26 <REP> .

14/10/2007 18:26 <REP> ..

10/12/2006 12:26 <REP> Adobe

14/10/2007 18:26 <REP> Borland Shared

11/10/2007 19:54 <REP> InstallShield

12/10/2007 18:16 <REP> Java

10/12/2006 12:34 <REP> LightScribe

27/03/2007 09:02 <REP> microsoft shared

10/12/2006 12:34 <REP> muvee Technologies

10/12/2006 12:34 <REP> NewTech Infosystems

02/11/2006 13:18 <REP> Services

02/11/2006 13:18 <REP> SpeechEngines

11/03/2008 09:12 <REP> Symantec Shared

04/04/2008 18:56 <REP> System

0 fichier(s) 0 octets

14 Rép(s) 37 202 178 048 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 2AA8-1BF3

 

Répertoire de C:\

 

14/10/2007 18:33 73 463 unins000.exe

1 fichier(s) 73 463 octets

0 Rép(s) 37 202 178 048 octets libres

 

 

 

 

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_PC-de-ordi.tar.gz a l'adresse http://upload.malekal.com

Lien vers le commentaire
Partager sur d’autres sites

Ok, il y a du monde là dedans. Tu peux poster le rapport ComboFix, j'analyse celui de DiagHelp dans l'intervalle.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...