[Résolu] Virus, malware, spyware, je ne sais pas

[alainj77]

Je reviens tout à l'heure, et je vais en profiter pour essayer de trouver plus d'informations sur le vilain que nous avons rencontré. A plus tard

 

Re Gof

Non j'ai tout abandonné, puisque rien ne marche

Si tu as plus d'info je veux bien en profiter même par MP pour remonter ça chez McAfee, je paye donc ils ne devraient pas laisser passer ce genre de chose.

Je m'en remets entièrement à toi pour le nettoyage comme j'avais fait avec WawaSeb il y a un an.

A tout à l'heure

[WawaSeb]

Salut alainj77, Gof !

 

*** Une petite incursion pour vous saluer tous les deux !! ***

 

 

Je m'en remets entièrement à toi pour le nettoyage comme j'avais fait avec WawaSeb il y a un an.

--> Tu peux faire confiance à Gof qui n'est pas modérateur pour rien !

--> Je lui ai d'ailleurs copié plusieurs idées...

 

==> Vous travaillez sur une nouvelle variante (Srizbi) qui a bien été rapportée aux experts et aux développeurs concernés, mais qui est encore très mal détectée à l'heure actuelle !

 

Je suis persuadé que tout va bien se dérouler pour toi, alainj77 !

@u plaisir d'en voir le dénouement...

[alainj77]

Hello WawaSeb

Merci de ta petite incursion et de ton intervention l'année dernière. Sois tranquille je fais entière cofiance a Gof, autant que je t'avais fait confiance sinon je ne serais pas venu sur le forum. Je sais que vous êtes très forts et si je connaissais la moitié de ce que vous savez je serai très heureux, mais bon vous avez le savoir et on en profite, c'est déjà très cool de votre part du temps que vous passez avec nos problèmes.

Je pollue un peu le forum, mais les compliments vous les méritiez et je n'ai pas osé te les envoyer par MP, et Gof les mérite aussi puisque depuis son intervention ça va déjà mieux même si tout ne marche pas encore, mais je ne désespère pas, je suis sûr qu'il va me donner tous les conseils nécessaires.

Bonne journée et encore merci à vous tous.

[alainj77]

Re a tous

Bon il faut que je prenne une decision rapidement etant donne que j'ai des fichiers a transmettre a des clients demain et que je ne peux pas prendre le risque de les infecter eux aussi.

Si on ne peut pa resoudre le probleme je dois formater et tout reinstaller et je pense que la nuit entiere me sera necessaire pour ca

Pas de nouvelles de Gof?

[Gof]

Bonsoir alainj77

 

Faisons un point ensemble si tu veux bien. Je pense que l'essentiel de l'infection est traité, voire totalement. Je doute de trouver quelque chose d'actif, sinon quelques restes inoffensifs. J'opte à présent pour un souci d'ordre "software", peut-être liés aux manipulations précédemment exécutées pour essayer de réparer par toi même.

 

Je ne crois pas qu'il y ait une urgence particulière à traiter le souci, on risquerait de mal l'identifier, et donc mal le résoudre. Dis moi de quels types sont les fichiers que tu vas transmettre à tes clients (documents openoffice, etc ?) et sur quel type de supports. On verra quelle sera la meilleure méthode pour s'assurer que ces derniers soient sains. Mais encore une fois, je te le redis, je ne pense pas en l'était qu'il y ait un grand risque (sinon par un type d'infections se propageant par supports amovibles).

 

Pour finir, dans ta prochaine réponse, décris moi précisément les symptômes que tu rencontres et les soucis qui persistent. A te lire, il me semble que ce sont les mises à jour windows qui posent problème. N'y a-t-il pas d'autres soucis constatés ? Quel est ou sont les messages d'erreur rencontrés lorsque tu avais fait l'essai, s'il y en avait eu ?

[alainj77]

Re Gof

Axcuse moi encore, mais j'ai eu peur d'infcter des clients.

Je dois leur transmettre des brochures de cours en format Word 2002 (encore Billou) et avec les problèmes sur Windows je me méfie des autres logiciels, et ce n'est pas par support mais par outloock (et re le même).

Pour l'instant ce ne sont effectivement que les mises à jour de Windows qui ne veulent pas se faire, j'ai réussi à réinstaller IE7, mais je ne peux pas en faire les mises à jour, je ne peux pas non plus installer le Pack3, sans message d'erreur, simplemet j'ai la fenêtre des mises à jour qui me dit que les mises à jour n'ont pas pu être faites.

Pour l'anti virus qui rebootait le PC je ne sais pas encore, on va voir sous peu il démarre à minuit.

[Gof]

Re

 

Je dois leur transmettre des brochures de cours en format Word 2002

D'accord. Une simple analyse par ton antivirus des fichiers à transmettre sera une bonne garantie de leur non-nocivité. Tu pourras transmettre tes fichiers à tes clients sans inquiétude.

 

Je souhaiterais que tu me génères un nouveau rapport Diaghelp.

[alainj77]

C'est en cours.

L'analyse par l'anti virus je me méfie vu qu'il n'a pas détecté le précédent, mais si tu me le dis j'ai entière confiance.

[alainj77]

Voila le rapport

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 21/08/2008 à 23:49:14,52

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->21/08/2008 23:49:10

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->21/08/2008 23:48:23

C:\WINDOWS\prefetch\MCUIMGR.EXE-05B9316A.pf -->21/08/2008 23:11:09

C:\WINDOWS\prefetch\MCSVRCNT.EXE-12D57BDF.pf -->21/08/2008 23:10:46

C:\WINDOWS\prefetch\MCUPDUI.EXE-11F2DF27.pf -->21/08/2008 23:10:34

C:\WINDOWS\prefetch\MCINSUPD.EXE-12132D5F.pf -->21/08/2008 23:06:22

C:\WINDOWS\prefetch\HWUPDCHK.EXE-0E7B1FDA.pf -->21/08/2008 23:03:24

C:\WINDOWS\prefetch\MCSYNC.EXE-08959A8A.pf -->21/08/2008 23:03:21

C:\WINDOWS\prefetch\MCINFO.EXE-39905246.pf -->21/08/2008 23:03:14

C:\WINDOWS\prefetch\MCUPDMGR.EXE-1FFDEF42.pf -->21/08/2008 23:03:12

 

C:\WINDOWS\System32\drivers\gmer.sys -->20/08/2008 17:53:23

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->17/08/2008 15:01:18

C:\WINDOWS\System32\drivers\mbam.sys -->17/08/2008 15:01:14

C:\WINDOWS\System32\drivers\mfesmfk.sys -->02/12/2007 12:51:42

C:\WINDOWS\System32\drivers\mfehidk.sys -->22/11/2007 06:44:08

C:\WINDOWS\System32\drivers\mfebopk.sys -->22/11/2007 06:44:08

C:\WINDOWS\System32\drivers\mfeavfk.sys -->22/11/2007 06:44:08

 

C:\WINDOWS\System32\wpa.dbl -->21/08/2008 10:12:41

C:\WINDOWS\System32\Config.MPF -->21/08/2008 09:50:58

C:\WINDOWS\System32\PerfStringBackup.INI -->19/08/2008 06:03:48

C:\WINDOWS\System32\perfh00C.dat -->19/08/2008 06:03:48

C:\WINDOWS\System32\perfh009.dat -->19/08/2008 06:03:48

C:\WINDOWS\System32\perfc00C.dat -->19/08/2008 06:03:48

C:\WINDOWS\System32\perfc009.dat -->19/08/2008 06:03:48

C:\WINDOWS\System32\FNTCACHE.DAT -->19/08/2008 05:54:42

C:\WINDOWS\System32\$winnt$.inf -->19/08/2008 05:52:34

C:\WINDOWS\System32\nscompat.tlb -->19/08/2008 05:47:58

C:\WINDOWS\System32\amcompat.tlb -->19/08/2008 05:47:58

C:\WINDOWS\System32\WindowsLogon.manifest -->19/08/2008 05:46:47

C:\WINDOWS\System32\logonui.exe.manifest -->19/08/2008 05:46:47

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->19/08/2008 05:46:39

C:\WINDOWS\System32\sapi.cpl.manifest -->19/08/2008 05:46:39

C:\WINDOWS\System32\nwc.cpl.manifest -->19/08/2008 05:46:39

C:\WINDOWS\System32\ncpa.cpl.manifest -->19/08/2008 05:46:39

C:\WINDOWS\System32\cdplayer.exe.manifest -->19/08/2008 05:46:39

C:\WINDOWS\System32\emptyregdb.dat -->19/08/2008 05:38:31

C:\WINDOWS\System32\TZLog.log -->19/08/2008 03:06:08

C:\WINDOWS\System32\MRT.exe -->05/08/2008 20:11:01

C:\WINDOWS\System32\tzchange.exe -->14/07/2008 13:09:18

C:\WINDOWS\System32\xpsp3res.dll -->03/07/2008 11:42:35

C:\WINDOWS\System32\msfeedsbs.dll -->23/06/2008 18:28:20

C:\WINDOWS\System32\msfeeds.dll -->23/06/2008 18:28:20

 

C:\WINDOWS\WindowsUpdate.log -->21/08/2008 22:43:32

C:\WINDOWS\setupapi.log -->21/08/2008 14:02:48

C:\WINDOWS\KB951748.log -->21/08/2008 10:35:54

C:\WINDOWS\KB938127-IE7.log -->21/08/2008 10:35:46

C:\WINDOWS\KB950749.log -->21/08/2008 10:35:39

C:\WINDOWS\KB932823-v3.log -->21/08/2008 10:35:28

C:\WINDOWS\KB952954.log -->21/08/2008 10:35:14

C:\WINDOWS\KB950974.log -->21/08/2008 10:35:07

C:\WINDOWS\KB951698.log -->21/08/2008 10:34:55

C:\WINDOWS\KB951072-v2.log -->21/08/2008 10:34:42

C:\WINDOWS\svcpack.log -->21/08/2008 10:08:42

C:\WINDOWS\0.log -->21/08/2008 09:50:48

C:\WINDOWS\wiadebug.log -->21/08/2008 09:50:25

C:\WINDOWS\wiaservc.log -->21/08/2008 09:50:23

C:\WINDOWS\bootstat.dat -->21/08/2008 09:48:57

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1440

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x771b0000 0xce000 7.00.5730.0013 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll

0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll

0x61410000 0x124000 7.00.5730.0013 C:\WINDOWS\system32\urlmon.dll

0x7d200000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll

0x74b30000 0x3b000 7.00.5730.0013 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x10000000 0x6000 2.06.0000.6253 C:\Program Files\SiteAdvisor\6253\saHook.dll

0x748f0000 0x130000 8.50.2162.0000 C:\WINDOWS\system32\msxml3.dll

0x029e0000 0x187000 1.06.0000.0012 C:\PROGRA~1\SPYBOT~1\SDHelper.dll

0x65af0000 0xa000 7.00.5730.0013 C:\WINDOWS\system32\jsproxy.dll

0x14490000 0x12000 14.00.0000.0366 C:\Program Files\McAfee\VirusScan\scriptsn.dll

0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\JScript.dll

0x73300000 0x65000 5.07.0000.5730 C:\WINDOWS\system32\VBScript.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x032f0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x03990000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x04730000 0x174000 1.01.0001.0001 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL

0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCR71.dll

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll

0x035d0000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll

0x00d80000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll

0x01320000 0x2c000 C:\Program Files\WinRAR\rarext.dll

0x6c600000 0x29000 12.00.0172.0000 c:\PROGRA~1\mcafee\VIRUSS~1\mcctxmnu.dll

0x01eb0000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 556

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\WINDOWS\temp

 

23/02/2008 14:50 309 096 0158971219320169mcinst.exe

1 fichier(s) 309 096 octets

0 Rép(s) 19 533 209 600 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 14:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 19 533 209 600 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

18/08/2008 10:17 <REP> .

18/08/2008 10:17 <REP> ..

31/03/2008 21:51 392 528 AdSignerADP.dll

12/12/2007 10:33 747 AdSignerADP.inf

31/03/2008 21:51 261 456 AdVerifierADP.dll

19/08/2008 05:46 65 desktop.ini

20/11/2007 17:04 1 523 536 FP_AX_CAB_INSTALLER.exe

16/05/2007 09:22 399 gp.inf

16/05/2007 09:22 166 512 gp.ocx

20/03/2008 15:10 367 LegitCheckControl.inf

28/02/2007 21:24 361 OGAControl.inf

28/08/2006 12:05 227 opuc.inf

20/11/2007 16:50 247 swflash.inf

11 fichier(s) 2 346 445 octets

 

Total des fichiers listés :

11 fichier(s) 2 346 445 octets

2 Rép(s) 19 533 205 504 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:LifeCam.exe"

"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"

"C:\\Program Files\\FileZilla\\FileZilla.exe"="C:\\Program Files\\FileZilla\\FileZilla.exe:*:Enabled:FileZilla"

"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing"

"C:\\Program Files\\Ahead\\Nero ShowTime\\ShowTime.exe"="C:\\Program Files\\Ahead\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"

"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"DisableRegistryTools"=dword:00000000

"HideLegacyLogonScripts"=dword:00000000

"HideLogoffScripts"=dword:00000000

"RunLogonScriptSync"=dword:00000001

"RunStartupScriptSync"=dword:00000000

"HideStartupScripts"=dword:00000000

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-21 23:50:50

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

444 - mcmscsvc.exe

468 - McNASvc.exe

532 - csrss.exe

556 - winlogon.exe

600 - services.exe

612 - lsass.exe

772 - svchost.exe

820 - svchost.exe

896 - McProxy.exe

940 - svchost.exe

960 - Mcshield.exe

984 - svchost.exe

1044 - MpfSrv.exe

1052 - svchost.exe

1104 - mpservic.exe

1160 - MSCamS32.exe

1208 - msksrver.exe

1440 - explorer.exe

1608 - mcagent.exe

1616 - SiteAdv.exe

1672 - ctfmon.exe

1680 - msnmsgr.exe

2444 - WINWORD.EXE

2520 - svchost.exe

2760 - iexplore.exe

3088 - wuauclt.exe

3120 - msimn.exe

3140 - cmd.exe

3324 - mcsysmon.exe

3404 - alg.exe

3544 - usnsvc.exe

3832 - taskmgr.exe

 

Total number of processes = 32

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

806EC000 - \WINDOWS\system32\hal.dll

F8A51000 - \WINDOWS\system32\KDCOM.DLL

F8961000 - \WINDOWS\system32\BOOTVID.dll

F8501000 - ACPI.sys

F8A53000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F84F0000 - pci.sys

F8551000 - isapnp.sys

F8A55000 - intelide.sys

F87D1000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F8561000 - MountMgr.sys

F84D1000 - ftdisk.sys

F87D9000 - PartMgr.sys

F8571000 - VolSnap.sys

F84B9000 - atapi.sys

F8581000 - hpt3xx.sys

F84A1000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

F8591000 - disk.sys

F85A1000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F8482000 - fltMgr.sys

F8470000 - sr.sys

F8965000 - hptpro.sys

F8459000 - KSecDD.sys

F83CC000 - Ntfs.sys

F839F000 - NDIS.sys

F8384000 - Mup.sys

F85B1000 - agp440.sys

F8781000 - \SystemRoot\system32\DRIVERS\p3.sys

F8329000 - \SystemRoot\system32\DRIVERS\atimpae.sys

F8315000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F8899000 - \SystemRoot\system32\DRIVERS\RTL8029.SYS

F88A1000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS

F8791000 - \SystemRoot\system32\drivers\es1371mp.sys

F82F1000 - \SystemRoot\system32\drivers\portcls.sys

F87A1000 - \SystemRoot\system32\drivers\drmk.sys

F82CE000 - \SystemRoot\system32\drivers\ks.sys

F88A9000 - \SystemRoot\system32\DRIVERS\fdc.sys

F82BA000 - \SystemRoot\system32\DRIVERS\parport.sys

F82A9000 - \SystemRoot\system32\DRIVERS\serial.sys

F8A21000 - \SystemRoot\system32\DRIVERS\serenum.sys

F87B1000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F88B1000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F88B9000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F87C1000 - \SystemRoot\system32\DRIVERS\imapi.sys

F85E1000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F85F1000 - \SystemRoot\system32\DRIVERS\redbook.sys

F88C1000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F824C000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F8C5F000 - \SystemRoot\system32\DRIVERS\audstub.sys

F8601000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F8A29000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F8235000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F8611000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F8621000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F88C9000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F8224000 - \SystemRoot\system32\DRIVERS\psched.sys

F8631000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F88D1000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F88D9000 - \SystemRoot\system32\DRIVERS\raspti.sys

F8661000 - \SystemRoot\system32\DRIVERS\termdd.sys

F8A71000 - \SystemRoot\system32\DRIVERS\swenum.sys

F8150000 - \SystemRoot\system32\DRIVERS\update.sys

F8A3D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F8671000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F8A73000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F8681000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F8340000 - \SystemRoot\system32\DRIVERS\gameenum.sys

F88F1000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F8A77000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F8B6C000 - \SystemRoot\System32\Drivers\Null.SYS

F8A79000 - \SystemRoot\System32\Drivers\Beep.SYS

F8911000 - \SystemRoot\System32\drivers\vga.sys

F8A7B000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F8A7D000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F8919000 - \SystemRoot\System32\Drivers\Msfs.SYS

F8921000 - \SystemRoot\System32\Drivers\Npfs.SYS

F89F1000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F78D5000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F787D000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F7859000 - \SystemRoot\System32\Drivers\Mpfp.sys

F86D1000 - \SystemRoot\system32\DRIVERS\ipfltdrv.sys

F7831000 - \SystemRoot\system32\DRIVERS\netbt.sys

F780F000 - \SystemRoot\System32\drivers\afd.sys

F86E1000 - \SystemRoot\system32\DRIVERS\netbios.sys

F77E3000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F774C000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F771C000 - \SystemRoot\system32\drivers\mfehidk.sys

F76FB000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F86F1000 - \SystemRoot\System32\Drivers\Fips.SYS

F8701000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F8931000 - \SystemRoot\system32\DRIVERS\usbprint.sys

F76D8000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F76C0000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F8A91000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F8951000 - \SystemRoot\System32\watchdog.sys

F8134000 - \SystemRoot\System32\drivers\Dxapi.sys

BF9C1000 - \SystemRoot\System32\drivers\dxg.sys

F8B41000 - \SystemRoot\System32\drivers\dxgthk.sys

BFF50000 - \SystemRoot\System32\atidrae.dll

F6E78000 - \SystemRoot\system32\DRIVERS\rspndr.sys

F6A9B000 - \SystemRoot\system32\drivers\wdmaud.sys

F6CD8000 - \SystemRoot\system32\drivers\sysaudio.sys

F6946000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F65DF000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

F8A6D000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F8891000 - \??\C:\WINDOWS\system32\drivers\cis1284.sys

F6576000 - \SystemRoot\System32\Drivers\HTTP.sys

F64D3000 - \SystemRoot\system32\DRIVERS\srv.sys

F8889000 - \SystemRoot\system32\drivers\mfebopk.sys

F6089000 - \SystemRoot\system32\drivers\mfeavfk.sys

F5EE9000 - \SystemRoot\system32\drivers\mfesmfk.sys

F5427000 - \SystemRoot\system32\drivers\kmixer.sys

F8B4D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 114

 

Liste des programmes installes

 

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)

Adobe Flash Player ActiveX

Adobe Photoshop 7.0

Adobe Reader 8.1.2 - Français

Adobe Reader 8.1.2 Security Update 1 (KB403742)

Archiveur WinRAR

AsfTools 3.1 (remove only)

Assistant de connexion Windows Live

Audacity 1.2.6

Canon MultiPASS ODBC Interface

Canon MultiPASS Suite 3.21

Canon ScanGear 4.0 pour MultiPASS

CCleaner (remove only)

FixMessenger

HijackThis 1.99.1

Hotfix for Windows XP (KB915865)

Lecteur Windows Media 11

LotoManager Pro 4.9

Malwarebytes' Anti-Malware

McAfee SecurityCenter

Microsoft FrontPage 2002

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft LifeCam

Microsoft National Language Support Downlevel APIs

Microsoft Office XP Professional

Microsoft Publisher 2002

Mozilla Firefox (2.0.0.5)

Nero 6

Nero Digital

Nero Media Player

NTREGOPT 1.1j

Shareaza 2.3.1.0

Skype™ 3.6

Spybot - Search & Destroy

TTDX Configurator

Wallpaper

WebFldrs XP

Windows Internet Explorer 7

Windows Live installer

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\Program Files

 

21/08/2008 01:59 <REP> .

21/08/2008 01:59 <REP> ..

07/07/2008 15:20 <REP> Adobe

26/01/2008 10:54 <REP> Ahead

05/05/2007 15:32 <REP> AsfTools 3.1

19/01/2008 10:36 <REP> ATI Multimedia

29/06/2008 16:20 <REP> Audacity

25/02/2007 15:53 <REP> BaseDVDivX

12/02/2007 14:30 <REP> Canon

19/08/2008 07:19 <REP> CCleaner

10/03/2007 14:35 <REP> Ciel

12/02/2007 11:00 <REP> ComPlus Applications

30/07/2007 15:10 <REP> DialMessenger

30/07/2007 15:10 <REP> Dial-Messenger

07/03/2007 19:18 <REP> DivX

28/08/2007 18:32 <REP> DOSBox-0.72

21/08/2008 09:11 <REP> Fichiers communs

26/02/2007 08:41 <REP> FileZilla

20/01/2008 15:41 <REP> FixMessenger

16/08/2007 03:16 <REP> Google

14/03/2007 20:11 <REP> Hewlett-Packard

14/03/2007 20:07 <REP> HP

21/08/2008 02:37 <REP> Internet Explorer

18/05/2008 13:15 <REP> Inventel

09/11/2007 17:24 <REP> Java

21/08/2008 09:02 <REP> Lavasoft

07/07/2008 17:53 <REP> lotomanagerpro

07/07/2008 17:57 <REP> lotomanagerpro49

17/03/2007 11:32 <REP> Macromedia

21/08/2008 01:59 <REP> Malwarebytes' Anti-Malware

21/08/2008 14:02 <REP> McAfee

22/07/2007 09:31 <REP> McAfee.com

13/08/2008 03:28 <REP> Messenger

03/03/2007 09:49 <REP> Micro Application

12/02/2007 11:04 <REP> microsoft frontpage

07/02/2008 13:40 <REP> Microsoft LifeCam

12/02/2007 11:28 <REP> Microsoft Office

17/05/2007 15:48 <REP> Movie Maker

22/01/2008 21:11 <REP> Mozilla Firefox

19/04/2007 16:01 <REP> MSN

12/02/2007 10:59 <REP> MSN Gaming Zone

19/04/2007 16:15 <REP> MSN Messenger

08/03/2007 08:01 <REP> MSXML 4.0

12/02/2007 11:01 <REP> NetMeeting

23/07/2008 10:32 <REP> NT Registry Optimizer

12/02/2007 10:59 <REP> Online Services

18/08/2008 20:40 <REP> Outlook Express

15/04/2007 06:45 <REP> Overland

12/03/2007 16:15 <REP> RegCleaner

21/10/2007 09:55 <REP> Samsung

12/02/2007 11:02 <REP> Services en ligne

28/05/2008 23:23 <REP> Shareaza

23/05/2008 17:34 <REP> SiteAdvisor

11/03/2008 10:26 <REP> Skype

20/08/2008 12:48 <REP> Spybot - Search & Destroy

04/02/2008 09:49 <REP> Wallpaper

12/07/2007 08:29 <REP> Winamp

20/01/2008 14:18 <REP> Windows Live

03/04/2007 17:55 <REP> Windows Media Connect 2

18/08/2008 20:40 <REP> Windows Media Player

12/02/2007 10:59 <REP> Windows NT

26/06/2008 16:44 <REP> WinRAR

12/02/2007 11:04 <REP> xerox

02/03/2007 16:45 <REP> XviD

12/02/2007 17:17 <REP> Yahoo!

0 fichier(s) 0 octets

65 Rép(s) 19 516 051 456 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\Program Files\fichiers communs

 

21/08/2008 09:11 <REP> .

21/08/2008 09:11 <REP> ..

26/06/2008 16:17 <REP> Adobe

26/01/2008 10:40 <REP> Ahead

06/03/2007 13:36 <REP> Ciel

12/02/2007 11:25 <REP> Designer

17/03/2007 11:28 <REP> InstallShield

17/06/2007 07:59 <REP> Java

17/03/2007 11:33 <REP> Macromedia

17/03/2007 11:33 <REP> Macromedia Shared

18/11/2007 15:38 <REP> McAfee

26/01/2008 11:50 <REP> Microsoft Shared

12/02/2007 11:01 <REP> MSSoap

12/02/2007 11:52 <REP> ODBC

09/09/2007 21:20 <REP> PC SOFT

10/03/2007 14:37 <REP> Sage

12/02/2007 11:01 <REP> Services

16/02/2008 11:46 <REP> Skype

12/02/2007 11:52 <REP> SpeechEngines

18/08/2008 20:40 <REP> System

0 fichier(s) 0 octets

20 Rép(s) 19 516 047 360 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E8F2-E0B7

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

26/01/2008 13:40 <REP> .

26/01/2008 13:40 <REP> ..

12/02/2007 11:25 <REP> 1033

26/01/2008 13:40 <REP> 1036

29/01/2004 16:08 1 277 952 MSONSEXT.DLL

13/02/2001 09:23 58 784 MSOSV.DLL

03/06/1999 13:09 122 937 MSOWS409.DLL

07/03/2001 08:00 127 033 MSOWS40c.DLL

06/08/2000 10:04 401 462 MSVCP60.DLL

29/01/2004 16:08 69 632 PKMAXCTL.DLL

29/01/2004 16:08 868 352 PKMCDO.DLL

29/01/2004 16:08 53 248 PKMCORE.DLL

29/01/2004 16:08 102 400 PKMFORMS.DLL

29/01/2004 16:38 634 880 PKMRES.DLL

29/01/2004 16:08 28 672 PKMSSTLB.DLL

22/01/2001 04:25 40 960 PKMTEMPL.DLL

29/01/2004 16:08 24 576 PKMTRACE.DLL

29/01/2004 16:08 86 016 PKMWS.DLL

29/01/2004 16:08 237 568 PROMDEMO.DLL

29/01/2004 16:08 184 320 SECMGR.DLL

29/01/2004 16:08 315 392 VAIDDMGR.DLL

29/01/2004 16:08 32 768 VAIMEM.DLL

18 fichier(s) 4 666 952 octets

4 Rép(s) 19 516 047 360 octets libres

 

 

 

 

c:\Documents and Settings\Alain\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\Alain\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\Shareaza_2.2.5.0.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\_ISDel.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\Setup.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\68\DOS\DOS4GW.EXE

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\68\DOS\INSTALL.EXE

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\74\WINAPP\SPKCFG.EXE

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\ADeck\ADeck.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ac97\A1mu600a\ADeck\vpatch.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Setup.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\hkcmd.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\igfxcfg.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\igfxdiag.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\igfxext.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\igfxtray.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\ms6577\915G_win2k_xp72\Win2000\igfxzoom.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\alcchkid.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\alcrmv.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\alcrmv64.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\alcrmv9x.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\alcupd.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\AlcUpd64.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\ALCXDEV.EXE

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\ChCfg.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\GETDXVER.EXE

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\SetCDfmt.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\setup.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\alcrmv.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\alcrmv64.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\ChCfg.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\CPLUtl64.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\RTLCPL.exe

c:\Documents and Settings\Alain\Mes documents\Downloads\realtek\ALCXXX\WDM\SoundMan.exe

c:\Documents and Settings\Alain.OBELIX\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\Alain.OBELIX\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\Alain.PC1GHZ\Bureau\ComboFix.exe

c:\Documents and Settings\Alain.PC1GHZ\Bureau\mbam-setup.exe

c:\Documents and Settings\Alain.PC1GHZ\Bureau\spybotsd160.exe

c:\Documents and Settings\Alain.PC1GHZ\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

c:\Documents and Settings\Alain.PC1GHZ\Bureau\Nettoyage 19082008\gmer.exe

c:\Documents and Settings\Alain.PC1GHZ\Local Settings\Application Data\Citrix\GoToAssist\GoToAssist_phone_application_482_fr.exe

c:\Documents and Settings\Alain.PC1GHZ\Local Settings\Application Data\Citrix\GoToAssist\GoToAssist_phone_application_516_fr.exe

c:\Documents and Settings\Alain.PC1GHZ\Mes documents\Downloads\Shareaza_2.2.5.0.exe

c:\Documents and Settings\Alain.PC1GHZ\Mes documents\Downloads\Shareaza_2.3.1.0.exe

c:\Documents and Settings\All Users.WINDOWS\Documents\WallpaperSetup.exe

c:\Documents and Settings\Alain\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\FlashPlayerW.dll

c:\Documents and Settings\Alain\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\NPSWF32.dll

c:\Documents and Settings\Alain\Application Data\McAfee\Supportability\MVTLogs\Results\detect.dll

c:\Documents and Settings\Alain.OBELIX\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\FlashPlayerW.dll

c:\Documents and Settings\Alain.OBELIX\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\NPSWF32.dll

c:\Documents and Settings\Alain.OBELIX\Application Data\McAfee\Supportability\MVTLogs\Results\detect.dll

c:\Documents and Settings\Alain.PC1GHZ\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\FlashPlayerW.dll

c:\Documents and Settings\Alain.PC1GHZ\Application Data\Macromedia\Dreamweaver MX 2004\Configuration\Flash Player\NPSWF32.dll

c:\Documents and Settings\Alain.PC1GHZ\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

c:\Documents and Settings\Alain.PC1GHZ\Application Data\OfficeUpdate12\oudetect.dll

c:\Documents and Settings\All Users\Application Data\Ciel\Données Communes\pdf.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users.WINDOWS\Application Data\Ciel\Données communes\pdf.dll

c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\LocalService.AUTORITE NT.000\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_PC1GHZ.tar.gz a l'adresse http://upload.malekal.com

 

 

Je fais quoi de tout ce qu'on a installé?

[Gof]

L'analyse par l'antivirus je me méfie vu qu'il n'a pas détecté le précédent, mais si tu me le dis j'ai entière confiance.

L'infection que tu avais est relativement récente et utilise des techniques particulières.

 

Dans le cas de documents OFFICE, les éventuelles infections sont connues des solutions de sécurité, et un scan antivirus fera l'affaire

 

Donc, pour tes fichiers clients, rassure toi, cela ne devrait pas présenter de soucis. Je dois filer, je ne peux pas rester longtemps ce soir. Je m'efforcerai d'être disponible plus tôt demain, afin d'essayer de résoudre au plus vite les soucis restants. Mais, encore une fois, ne t'en inquiète pas de trop ; les soucis semblent réellement d'ordre "software", c'est à dire logiciel, et non plus infectieux.

 

A demain