Infecté ? qu'il y a-t-il dans ces rapports ?

[leminou]

Bonjour,

 

Mon anti-virus (Antivir) me signale le manque de "ccscherc.dll" et ne fonctionne plus correctement, et,

le firewall (Comodo v2.4.19.18) s'est retrouvé désactivé et la mise à jour est impossible.

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:35, on 17/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\APP\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\dllhost.exe
C:\APP\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\APP\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\APP\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\APP\Ahead\InCD\InCD.exe
C:\APP\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\APP\Comodo\Firewall\CPF.exe
C:\APP\Microsoft ActiveSync\wcescomm.exe
C:\APP\SuperCopier V1.35\SuperCopier.exe
C:\APP\MICROS~1\rapimgr.exe
C:\APP\a-squared Free\a2service.exe
c:\APP\FOXITP~2\FOXITR~1.EXE
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 192.200.50.3 PC1P432
O1 - Hosts: 192.200.50.2 PC2Q66
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [InCD] C:\APP\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\APP\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\APP\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\APP\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SuperCopier.exe] C:\APP\SuperCopier V1.35\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7413E6F9-405B-41D7-9626-77BD3FF7B495}: NameServer = 192.168.0.1
O20 - AppInit_DLLs:  
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\APP\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\APP\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\APP\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\APP\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\APP\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 5215 bytes

Merci pour vos commentaires

Modifié le 19 avril 2008 par leminou

[Falkra]

Bonsoir, aurais-tu un bon vieux Bagle ?

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  
• :!: Le rapport est sauvegardé dans c:\resultat.txt si jamais tu fermes le bloc notes. Il faudra aller le chercher là sinon, le rapport n'est pas sur le bureau.
   
  NB : si un antivirus détecte Troj/INJECT MF ou non approchant choisis "ignorer" c'est une fausse alerte.
  NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.
  

[leminou]

Bonjour Falkra,

 

Merci de ton intervention. J'ai lancé "go.cmd" option 1, le logiciel m'a demandé d'envoyer le fichier créé "upload_moi_PC2P432.tar.gz" à Malekal, le problème c'est que IE me dit "fichier non valide" !

 

Je garde ce fichier sur mon disque à tout hasard. Voici le fichier texte...

 

DiagHelp version v1.4 - http://www.malekal.com
excute le 18/04/2008 à  9:43:05.51 


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch 
C:\WINDOWS\prefetch\Layout.ini -->29/03/2008 10:05:24
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->29/03/2008 08:54:45

C:\WINDOWS\System32\drivers\sp_rsdrv2.sys -->04/09/2008 17:26:35
C:\WINDOWS\System32\drivers\inspect.sys -->12/04/2008 15:39:44
C:\WINDOWS\System32\drivers\cmdmon.sys -->12/04/2008 15:39:44
C:\WINDOWS\System32\drivers\nv4_mini.sys -->05/12/2007 02:41:00
C:\WINDOWS\System32\drivers\Msft_Kernel_LMouFilt_01005.Wdf -->17/11/2007 08:39:38
C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf -->17/11/2007 08:39:36
C:\WINDOWS\System32\drivers\avipbb.sys -->07/09/2007 12:05:19

C:\WINDOWS\System32\wpa.dbl -->15/04/2008 16:54:24
C:\WINDOWS\System32\default_user_class.dat.LOG -->02/04/2008 09:27:26
C:\WINDOWS\System32\PerfStringBackup.INI -->30/03/2008 12:55:07
C:\WINDOWS\System32\perfh00C.dat -->30/03/2008 12:55:07
C:\WINDOWS\System32\perfh009.dat -->30/03/2008 12:55:07
C:\WINDOWS\System32\perfc00C.dat -->30/03/2008 12:55:07
C:\WINDOWS\System32\perfc009.dat -->30/03/2008 12:55:07
C:\WINDOWS\System32\default_user_class.dat -->19/03/2008 14:07:35
C:\WINDOWS\System32\AutoPartNt.exe -->18/03/2008 11:28:58
C:\WINDOWS\System32\FNTCACHE.DAT -->17/02/2008 14:29:35
C:\WINDOWS\System32\nvapps.xml -->17/02/2008 12:32:26
C:\WINDOWS\System32\tmpF9D2C.FOT -->19/12/2007 11:00:15
C:\WINDOWS\System32\tmp28A2C.FOT -->19/12/2007 11:00:14
C:\WINDOWS\System32\tmp0EA2C.FOT -->19/12/2007 11:00:14
C:\WINDOWS\System32\tmpB762C.FOT -->19/12/2007 11:00:13
C:\WINDOWS\System32\tmp4972C.FOT -->19/12/2007 11:00:13
C:\WINDOWS\System32\tmp1F22C.FOT -->19/12/2007 11:00:12
C:\WINDOWS\System32\NVUNINST.EXE -->05/12/2007 03:53:08
C:\WINDOWS\System32\nwiz.exe -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwssr.dll -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwss.dll -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwrszht.dll -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwrszhc.dll -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwrstr.dll -->05/12/2007 02:41:00
C:\WINDOWS\System32\nvwrsth.dll -->05/12/2007 02:41:00

C:\WINDOWS\nsreg.dat -->04/09/2008 22:15:36
C:\WINDOWS\CMISETUP.INI -->04/09/2008 15:45:00
C:\WINDOWS\CMCDPLAY.INI -->04/09/2008 15:45:00
C:\WINDOWS\Ascd_tmp.ini -->04/09/2008 15:40:04
C:\WINDOWS\setupapi.log -->18/04/2008 09:21:05
C:\WINDOWS\0.log -->18/04/2008 09:13:51
C:\WINDOWS\wiaservc.log -->18/04/2008 09:13:49
C:\WINDOWS\wiadebug.log -->18/04/2008 09:13:49
C:\WINDOWS\bootstat.dat -->18/04/2008 09:13:39
C:\WINDOWS\WindowsUpdate.log -->18/04/2008 09:12:54
C:\WINDOWS\ipscan.ini -->23/03/2008 16:22:50
C:\WINDOWS\GPInstall.exe -->23/03/2008 16:14:51
C:\WINDOWS\win.ini -->19/12/2007 17:26:38
C:\WINDOWS\wmpr.zip -->26/11/2007 17:44:10
C:\WINDOWS\WMSysPr9.prx -->21/10/2007 12:40:15

winlogon.exe  
Verified:	Signed
svchost.exe  
Verified:	Signed
ws2_32.dll  
Verified:	Signed
user32.dll  
Verified:	Signed
tcpip.sys  
Verified:	Signed
ndis.sys  
Verified:	Signed
null.sys  
Verified:	Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1216
Command line: C:\WINDOWS\Explorer.EXE

 Base		Size	  Version			Path
 0x76f80000  0x7f000   2001.12.4414.0258  C:\WINDOWS\system32\CLBCATQ.DLL
 0x77000000  0xd4000   2001.12.4414.0258  C:\WINDOWS\system32\COMRes.dll
 0x745e0000  0x2c6000  3.01.4000.2435  C:\WINDOWS\system32\msi.dll
 0x76ac0000  0x11000   3.05.2284.0000  C:\WINDOWS\system32\ATL.DLL
 0x56780000  0xc000					C:\APP\SuperCopier V1.35\SCHook.DLL
 0x10000000  0x6000					C:\APP\Unlocker\UnlockerCOM.dll
 0x02780000  0x2e000   1.01.0000.0015  C:\Program Files\Spyware Terminator\sptcontmenu.dll
 0x028b0000  0x11000   7.00.0000.0010  C:\APP\Avira\AntiVir PersonalEdition Classic\shlext.dll
 0x7c250000  0x102000  7.10.3077.0000  C:\APP\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
 0x028d0000  0x56000   7.10.3052.0004  C:\APP\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll
 0x5d360000  0xf000	7.10.3077.0000  C:\WINDOWS\system32\MFC71FRA.DLL
 0x04190000  0x31000				   C:\APP\Exifer\exifershellext.dll
 0x02b50000  0x38000   3.00.0000.0058  C:\APP\a-squared Free\a2freecontmenu.dll
 0x6d7c0000  0x7b000   6.00.0020.0005  C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
 0x02d10000  0x3d000   3.525.1117.0000  C:\WINDOWS\system32\ODBC32.dll
 0x02e90000  0x18000   3.525.1117.0000  C:\WINDOWS\system32\odbcint.dll
 0x62350000  0x53000   2.00.0500.0000  C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
 0x60400000  0x18000   2.00.0500.0000  C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
 0x61e70000  0x8e000   4.05.2003.0120  C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
 0x7c3a0000  0x7b000   7.10.3077.0000  C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
 0x02300000  0x13000   4.57.0000.0000  C:\APP\7-Zip\7-zip.dll
 0x03520000  0x845000  6.14.0011.6921  C:\WINDOWS\system32\nvcpl.dll
 0x74bf0000  0x2c000   4.02.5406.0000  C:\WINDOWS\system32\OLEACC.dll
 0x76010000  0x65000   6.02.3104.0000  C:\WINDOWS\system32\MSVCP60.dll
 0x021e0000  0x45000   6.14.0011.6921  C:\WINDOWS\system32\NVRSFR.DLL
 0x02230000  0x60000   6.14.0011.6921  C:\WINDOWS\system32\nvapi.dll
 0x1c000000  0x25000   4.00.0008.0000  C:\APP\Ahead\InCD\incdshx.dll
 0x03d70000  0x73000   6.14.0010.11132  C:\WINDOWS\system32\nvshell.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1064
Command line: winlogon.exe

 Base		Size	  Version			Path
 0x01000000  0x81000				   \??\C:\WINDOWS\System32\winlogon.exe
 0x74730000  0x3d000   3.525.1117.0000  C:\WINDOWS\system32\ODBC32.dll
 0x20000000  0x18000   3.525.1117.0000  C:\WINDOWS\system32\odbcint.dll
 0x10000000  0xc000					C:\WINDOWS\system32\NavLogon.dll
 0x77000000  0xd4000   2001.12.4414.0258  C:\WINDOWS\system32\COMRes.dll
 0x76f80000  0x7f000   2001.12.4414.0258  C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\WINDOWS\system

17/02/2004  04:51		 1 458 176 SmWizard.exe
		   1 fichier(s)		1 458 176 octets
		   0 Rép(s)   5 027 135 488 octets libres
Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\WINDOWS\system32

19/08/2004  16:09			 6 144 csrss.exe
		   1 fichier(s)			6 144 octets
		   0 Rép(s)   5 027 135 488 octets libres

Contenu de Downloaded Program Files 
Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\WINDOWS\Downloaded Program Files

04/12/2007  19:09	<REP>		  .
04/12/2007  19:09	<REP>		  ..
12/11/2006  16:41				65 desktop.ini
25/07/2002  17:13			24 576 dwusplay.dll
25/07/2002  17:13		   196 608 dwusplay.exe
25/07/2002  17:05		   172 032 isusweb.dll
		   4 fichier(s)		  393 281 octets

 Total des fichiers listés :
		   4 fichier(s)		  393 281 octets
		   2 Rép(s)   5 027 135 488 octets libres

Recherche de rootkit! (Merci S!Ri) 

Recherche d'infections connues 

Export des clefs sensibles.. 


Liste des fichiers en exception sur le pare-feu XP SP2 

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Export de la clef SharedTaskScheduler 

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"NoInternetOpenWith"=dword:00000001



Export des clefs sensibles.. 
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1	activexupdate.com
127.0.0.1	www.activexupdate.com
127.0.0.1	msupdater.net
127.0.0.1	www.msupdater.net
127.0.0.1	www.malwarewipeupdate.com
127.0.0.1	spyfalconupdate.com
127.0.0.1	www.spyfalconupdate.com
127.0.0.1	spyaxeupdate.com
127.0.0.1	www.spyaxeupdate.com
127.0.0.1	necessaryupdates.com
127.0.0.1	www.necessaryupdates.com
127.0.0.1	systemupdates.net
127.0.0.1	www.systemupdates.net
127.0.0.1	updates.spywarequake.com
127.0.0.1	urgentsystemupdate.com
127.0.0.1	www.urgentsystemupdate.com
127.0.0.1	urgentsystemupdate.biz
127.0.0.1	www.urgentsystemupdate.biz
127.0.0.1	trial.updates.winsoftware.com
127.0.0.1	lavasoftupdate.com
127.0.0.1	www.lavasoftupdate.com
127.0.0.1	windupdates.com
127.0.0.1	securityupdatesite.com
127.0.0.1	www.securityupdatesite.com
127.0.0.1	newupdates.lzio.com
127.0.0.1	msupdate.net
127.0.0.1	www.msupdate.net
127.0.0.1	redirect.msupdate.net
127.0.0.1	eupdatepage.com
127.0.0.1	www.eupdatepage.com
127.0.0.1	updatemysettings.com
127.0.0.1	www.updatemysettings.com
127.0.0.1	settings.updatemysettings.com
127.0.0.1	search.keyword.exeupdate.com
127.0.0.1	client.exeupdate.com
127.0.0.1	www.exeupdate.com
127.0.0.1	avpcheckupdate.com
127.0.0.1	www.avpcheckupdate.com
127.0.0.1	exeupdate.com
127.0.0.1	hotwinupdates.com
127.0.0.1	www.hotwinupdates.com
127.0.0.1	malwarewipeupdate.com
127.0.0.1	update.680180.net
127.0.0.1	pandaantivirus-2007.com
127.0.0.1	www.pandaantivirus-2007.com
127.0.0.1	pandadownload-now.com
127.0.0.1	www.pandadownload-now.com
127.0.0.1	panda-hq.com
127.0.0.1	www.panda-hq.com
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 09:45:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules]
"Num"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0]
"Days"=dword:0000007f
"StartHour"=dword:00000000
"StartMinute"=dword:00000000
"StopHour"=dword:00000000
"StopMinute"=dword:00000000
"ID"=dword:00000000
"Protocol"=dword:00000001
"Action"=dword:00000001
"Direction"=dword:00000001
"Description"=""
"IPProto"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\DestinationIP]
"Type"=dword:00000000
"Name"=""

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\DestinationIP\Address]
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\DestinationIP\Address\IPV4]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\SourceIP]
"Type"=dword:00000000
"Name"=""

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\SourceIP\Address]
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\Firewall\Policy\11\Rules\0\SourceIP\Address\IPV4]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\HIPS\Policy\11\Protections]
"Num"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\HIPS\Policy\11\Rules]
"Num"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\HIPS\Policy\11\Rules\0]
"Flags"=dword:00200000
"DefaultAction"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\HIPS\Policy\11\Rules\0\Allowed]
"Num"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\HIPS\Policy\11\Rules\0\Blocked]
"Num"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\19\0]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000002
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\19\1]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000008
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\23\0]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000002
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\23\1]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000008
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\3\0]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000002
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\3\1]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000008
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\34\0]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000008
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\4\0]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000002
"Response"=dword:00000000
"NumConn"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Apps\4\1]
"AddrType"=dword:00000008
"AddrStart"="0.0.0.0"
"AddrEnd"="255.255.255.255"
"PortType"=dword:00000008
"PortStart"=dword:00000000
"PortEnd"=dword:0000ffff
"Protocol"=dword:00000008
"Response"=dword:00000000
"NumConn"=dword:00000000

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

Process list by traversal of KiWaitListHead

4	 -		   System  
196   -	  firefox.exe  
212   -		  cpf.exe  
292   -	  nvsvc32.exe  
468   -	 sp_rsser.exe  
648   -	  svchost.exe  
940   -		avgnt.exe  
996   -		csrss.exe  
1064  -	 winlogon.exe  
1108  -	 services.exe  
1120  -		lsass.exe  
1216  -	 explorer.exe  
1284  -  SpywareTerminat  
1292  -	  svchost.exe  
1368  -	  svchost.exe  
1412  -	  svchost.exe  
1496  -	  spoolsv.exe  
1548  -	  avguard.exe  
1892  -		  alg.exe  
1920  -		sched.exe  
1968  -	 cmdagent.exe  
2004  -	  dllhost.exe  
2828  -		  cmd.exe  
2944  -		 InCD.exe  
3016  -	 wcescomm.exe  

Total number of processes = 25
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
80701000 - \WINDOWS\system32\hal.dll
F7D63000 - \WINDOWS\system32\KDCOM.DLL
F7C73000 - \WINDOWS\system32\BOOTVID.dll
F7813000 - ACPI.sys
F7D65000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7802000 - pci.sys
F7863000 - isapnp.sys
F7D67000 - avgarkt.sys
F7D69000 - viaide.sys
F7AE3000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7873000 - MountMgr.sys
F77E3000 - ftdisk.sys
F7D6B000 - dmload.sys
F77BD000 - dmio.sys
F7AEB000 - PartMgr.sys
F7883000 - VolSnap.sys
F77A5000 - atapi.sys
F7793000 - viamraid.sys
F777B000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
F7893000 - disk.sys
F78A3000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F775C000 - fltmgr.sys
F7745000 - KSecDD.sys
F76B8000 - Ntfs.sys
F78B3000 - inspect.sys
F768B000 - \WINDOWS\System32\DRIVERS\NDIS.SYS
F7657000 - timntr.sys
F78C3000 - uagp35.sys
F7AF3000 - viaagp1.sys
F7642000 - snapman.sys
F7627000 - Mup.sys
F7963000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F6E9F000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F6E8B000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F7973000 - \SystemRoot\system32\DRIVERS\imapi.sys
F7983000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F7993000 - \SystemRoot\system32\DRIVERS\redbook.sys
F6E68000 - \SystemRoot\system32\DRIVERS\ks.sys
F7B53000 - \SystemRoot\System32\DRIVERS\InCDPass.sys
F7B5B000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F6E45000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7B63000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F7B6B000 - \SystemRoot\system32\DRIVERS\fdc.sys
F6E31000 - \SystemRoot\system32\DRIVERS\parport.sys
F79A3000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F7D3B000 - \SystemRoot\system32\DRIVERS\L8042Kbd.sys
F7B73000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F79B3000 - \SystemRoot\system32\DRIVERS\L8042mou.Sys
F6E1F000 - \SystemRoot\system32\DRIVERS\LMouKE.Sys
F7B7B000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F6E0E000 - \SystemRoot\system32\DRIVERS\serial.sys
F7D3F000 - \SystemRoot\system32\DRIVERS\serenum.sys
F6D45000 - \SystemRoot\system32\drivers\cmuda.sys
F6D21000 - \SystemRoot\system32\drivers\portcls.sys
F79C3000 - \SystemRoot\system32\drivers\drmk.sys
F79D3000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys
F7EA7000 - \SystemRoot\system32\DRIVERS\audstub.sys
F79E3000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F7D43000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F6D0A000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F79F3000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7A03000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F7B8B000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F6CF9000 - \SystemRoot\system32\DRIVERS\psched.sys
F7A13000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F7B93000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F7B9B000 - \SystemRoot\system32\DRIVERS\raspti.sys
F6C00000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F7A23000 - \SystemRoot\system32\DRIVERS\termdd.sys
F7D79000 - \SystemRoot\system32\DRIVERS\swenum.sys
F6BCC000 - \SystemRoot\system32\DRIVERS\update.sys
F7D5F000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7A43000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7A53000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7D7B000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7BA3000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F7D7D000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7F16000 - \SystemRoot\System32\Drivers\Null.SYS
F7D7F000 - \SystemRoot\System32\Drivers\Beep.SYS
F7F17000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
F7BB3000 - \SystemRoot\System32\drivers\vga.sys
F7D81000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7D83000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7D85000 - \SystemRoot\System32\Drivers\InCDrec.SYS
F4A6F000 - \SystemRoot\System32\Drivers\InCDfs.SYS
F7BBB000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7BC3000 - \SystemRoot\System32\Drivers\Npfs.SYS
F75D3000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F4A5C000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F4A04000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F49C9000 - \SystemRoot\System32\DRIVERS\cmdmon.sys
F49A8000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F7A73000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F4980000 - \SystemRoot\system32\DRIVERS\netbt.sys
F495E000 - \SystemRoot\System32\drivers\afd.sys
F7A83000 - \SystemRoot\system32\DRIVERS\netbios.sys
F7BCB000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
F493C000 - \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
F4910000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F7D23000 - \??\C:\WINDOWS\system32\drivers\pclepci.sys
F48A1000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F7AA3000 - \SystemRoot\System32\Drivers\Fips.SYS
F7AB3000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F7D87000 - \??\C:\APP\Avira\AntiVir PersonalEdition Classic\avgio.sys
F7AD3000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F4889000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7D91000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7BDB000 - \SystemRoot\System32\watchdog.sys
F6C3D000 - \SystemRoot\System32\drivers\Dxapi.sys
BF9C1000 - \SystemRoot\System32\drivers\dxg.sys
F7FA0000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D3000 - \SystemRoot\System32\nv4_disp.dll
F7BE3000 - \SystemRoot\system32\DRIVERS\tifsfilt.sys
BAD6D000 - \??\C:\APP\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
F7E29000 - \SystemRoot\System32\Drivers\ParVdm.SYS
BAAC2000 - \SystemRoot\system32\DRIVERS\srv.sys
BAA86000 - \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
BA855000 - \SystemRoot\system32\drivers\wdmaud.sys
BAA12000 - \SystemRoot\system32\drivers\sysaudio.sys
BA3CB000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F7B43000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
BA3A1000 - \SystemRoot\system32\drivers\kmixer.sys
F7F9B000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 125

Liste des programmes installes

7-Zip 4.57 
a-squared Free 3.0 
Audacity 1.2.3 
AVG Anti-Rootkit Free 
Avira AntiVir PersonalEdition Classic 
C-Media 3D Audio 
CCleaner (remove only) 
Cloneur Expert 
COMODO Firewall Pro 
Correctif pour Windows XP (KB893357) 
DropMyRights 
EdHex 1.7 
EVEREST Home Edition v2.20 
Exifer 
GSpot Codec Information Appliance 
Gyula's Navigator 1.28b 
HD Tune 2.53 
HijackThis 2.0.2 
InCD 
IPScan 
Java(TM) 6 Update 2 
jv16 PowerTools 1.3 
K-Lite Codec Pack 3.5.3 Full 
Lame ACM MP3 Codec 
Microsoft ActiveSync 4.0 
Microsoft Visual C++ 2005 Redistributable 
Mozilla Thunderbird (2.0.0.12) 
Neuf - Kit de connexion 
NVIDIA Drivers 
OpenOffice.org 2.3 
PDFCreator 
PowerBatch 6 
QuickTime Alternative 1.90 
Rapidos! 
Real Alternative 1.52 
Ressource Hacker FR 
Simple PDF 
Speedy Finder! Version 3.9 / Décembre 2003 
Spyware Terminator 
StartupMonitor 
Super Bloc-notes 2.1 
Unlocker 1.8.5 
User Profile Hive Cleanup Service 
ViaMichelin Navigation PND 
VirtualDub 1.6.9 Fr 
XviD MPEG-4 Codec 
Yahoo! Toolbar avec bloqueur de fenêtres pop-up 



Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\Program Files

27/10/2007  08:53	<REP>		  Common Files
29/03/2008  07:31	<REP>		  Fichiers communs
05/10/2007  08:21	<REP>		  Internet Explorer
19/10/2007  14:05	<REP>		  Java
13/12/2007  10:14	<REP>		  K-Lite Codec Pack
05/10/2007  08:21	<REP>		  Messenger
12/11/2006  16:47	<REP>		  microsoft frontpage
05/10/2007  08:21	<REP>		  Movie Maker
12/11/2006  16:36	<REP>		  MSN Gaming Zone
05/10/2007  08:18	<REP>		  NetMeeting
04/04/2007  15:11	<REP>		  Neuf
05/10/2007  08:38	<REP>		  OpenOffice.org 2.3
05/10/2007  08:18	<REP>		  Outlook Express
23/10/2007  11:40	<REP>		  QuickTime Alternative
02/10/2007  14:02	<REP>		  Real Alternative
12/11/2006  16:41	<REP>		  Services en ligne
07/04/2007  15:42	<REP>		  SmartSound Software
17/04/2008  17:35	<REP>		  Spyware Terminator
13/03/2008  12:28	<REP>		  UPHClean
07/08/2007  18:21	<REP>		  ViaMichelin
22/12/2007  11:28	<REP>		  Windows Media Player
05/10/2007  08:18	<REP>		  Windows NT
12/11/2006  16:47	<REP>		  xerox
04/09/2008  17:49	<REP>		  Yahoo!
		   0 fichier(s)				0 octets
		  24 Rép(s)   5 023 862 784 octets libres
Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\Program Files\fichiers communs

29/03/2008  07:31	<REP>		  .
29/03/2008  07:31	<REP>		  ..
08/12/2006  10:56	<REP>		  Acronis
23/03/2007  18:05	<REP>		  Ahead
19/08/2005  08:23	<REP>		  DirectX
19/12/2007  11:08	<REP>		  Hewlett-Packard
09/07/2007  12:40	<REP>		  InstallShield
06/04/2007  13:47	<REP>		  Java
29/03/2008  07:31	<REP>		  Logitech
22/02/2008  10:23	<REP>		  Microsoft Shared
12/11/2006  16:39	<REP>		  MSSoap
12/11/2006  17:21	<REP>		  ODBC
12/11/2006  17:21	<REP>		  SpeechEngines
05/10/2007  08:18	<REP>		  System
		   0 fichier(s)				0 octets
		  14 Rép(s)   5 023 862 784 octets libres
Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

22/03/2008  14:40	<REP>		  .
22/03/2008  14:40	<REP>		  ..
18/05/2001  16:57		   561 209 MSONSEXT.DLL
03/06/1999  13:09		   122 937 MSOWS409.DLL
07/03/2001  08:00		   127 033 MSOWS40c.DLL
		   3 fichier(s)		  811 179 octets
		   2 Rép(s)   5 023 862 784 octets libres
Le volume dans le lecteur C s'appelle WD102BA-XP
Le numéro de série du volume est A4E8-5F37

Répertoire de C:\Program Files\common files

27/10/2007  08:53	<REP>		  .
27/10/2007  08:53	<REP>		  ..
		   0 fichier(s)				0 octets
		   2 Rép(s)   5 023 862 784 octets libres




c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{7D6D2D15-3C83-4124-90A8-27CB8A972AAA}\ARPPRODUCTICON.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe1_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\Uninstall_CDBurnerXP_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{E78D6337-8E3C-11D8-A0A8-0050BF61B407}\_1D81EE058E3F_11D8_A0A8_0050BF61B470.exe
c:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdel.exe
c:\Documents and Settings\dD\Application Data\Microsoft\Installer\{76EFAC4F-1712-401F-B2AE-590B170C9BCE}\_60c11ac7.exe
c:\Documents and Settings\dD\Application Data\Microsoft\Installer\{7D6D2D15-3C83-4124-90A8-27CB8A972AAA}\ARPPRODUCTICON.exe
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEbg.exe
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEunzip.exe
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEzip.exe
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\dD\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{7D6D2D15-3C83-4124-90A8-27CB8A972AAA}\ARPPRODUCTICON.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe1_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\Uninstall_CDBurnerXP_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{E78D6337-8E3C-11D8-A0A8-0050BF61B407}\_1D81EE058E3F_11D8_A0A8_0050BF61B470.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{7D6D2D15-3C83-4124-90A8-27CB8A972AAA}\ARPPRODUCTICON.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\cdbxp.exe1_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\Uninstall_CDBurnerXP_A2B8C891E8B94C26975E193A62033974.exe
c:\Documents and Settings\gagarine\Application Data\Microsoft\Installer\{E78D6337-8E3C-11D8-A0A8-0050BF61B407}\_1D81EE058E3F_11D8_A0A8_0050BF61B470.exe
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEbg.exe
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEunzip.exe
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}\FEBEzip.exe
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\isadmin@vdtsoftware.ffext\components\isadmin.dll
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
c:\Documents and Settings\dD\Application Data\Mozilla\Firefox\Profiles\wg12b9ds.défaut\extensions\{c151d79e-e61b-4a90-a887-5a46d38fba99}\platform\WINNT_x86-msvc\components\canvas2png.dll
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\isadmin@vdtsoftware.ffext\components\isadmin.dll
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
c:\Documents and Settings\gagarine\Application Data\Mozilla\Firefox\Profiles\up124w1s.default\extensions\{c151d79e-e61b-4a90-a887-5a46d38fba99}\platform\WINNT_x86-msvc\components\canvas2png.dll
c:\Documents and Settings\gagarine\Application Data\Thunderbird\Profiles\a8djfy7i.default\extensions\isadmin@vdtsoftware.ffext\components\isadmin.dll
c:\Documents and Settings\gagarine\Application Data\Thunderbird\Profiles\a8djfy7i.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
c:\Documents and Settings\gagarine\Application Data\Thunderbird\Profiles\a8djfy7i.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\webdav.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp 
Veuillez svp envoyer le fichier C:\upload_moi_PC2P432.tar.gz a l'adresse http://upload.malekal.com

PS. j'ai désinstallé et réinstallé Antivir mais je n'ai pas réussi a faire la MAJ actuellement, je ferais un autre essai plus tard.

[leminou]

Bonjour, alors, pas de cochonnerie ?

 

Veuillez svp envoyer le fichier C:\upload_moi_PC2P432.tar.gz a l'adresse http://upload.malekal.com

J'ai essayé d'envoyer le fichier avec IE et Firefox il m'est retourné un message d'erreur "fichier invalide"

 

Je l'ai recompressé en .zip mais toujours le même message.

 

Que faire ? Merci de vos réponses.

[leminou]

Pas de réponse... doit-je en conclure que c'est propre ?

[Falkra]

Bonjour,

 

le rapport n'est pas infecté en tant que tel, mais l'as-tu modifié avant de le poster ? Je demande sans soupçons d'aucune sorte mais il y a des choses que je trouve curieuses.

 

Pour ton premier problème, je vois énormément de logiciels de sécurité installés, attention à ne pas en avoir trop de résidetns sur le même type de tâches. Ex (ST + A² si résidents tous les deux).

[leminou]

Merci de ta réponse Falkra, je vais désactiver si je peux A², sinon je le désinstallerais.

 

Je me demande du reste si A² est efficace car je n'ai jamais eu de demande d'autorisation de sa part ?

[Falkra]

A² a vite fait de classer certaines choses comme riskware (VNC et autres par exemple), je n'aime pas beaucoup cette politique.

Leur base de données m'a toujours posé problème sur certaines détections, celle d'AVG m'a toujours semblé plus pertinente et efficace (à tester avec Ewido Miro scanner, qui l'utilise, mais lui n'est ni résident ni à installer : un excellent complément).