[resolu] analyse hijackthis

Alex36 · le 27 décembre 2008

bonjour j'ai mon pc qui c'est ralenti du jour au lendemain , (et je voudrais dire aux modos que JE NE FESAIT PAS DE P2P) j'ai viré tous les fichier infecté avec avira en MSE

j'ai mon mode sans echec qui merdoie : je suis obligé d'appuyer sur echap pour anuler un chargement de ficher ou un truc comme ça

combofix n'a rien trouvé

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:58:43, on 27/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\FileZilla Server\FileZilla Server.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\internet explorer\iexplore.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Documents and Settings\Alexandre\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "I:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{64EF3655-A2E7-48DC-BA1B-2DDD5069C58B}: NameServer = 192.168.1.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 7863 bytes

Modifié le 29 décembre 2008 par Alex36

pear · le 27 décembre 2008

Bonjour,

Télécharger Diaghelp

Tutoriel

il faut désactiver les protections avant l'utilisation de DiagHelp

# L'icône DiagHelp doit maintenant se trouver sur le Bureau

# Faites un clic droit puis Extraire tout ou Extraire ici.

# Un dossier DiagHelp doit alors être créé

# Double-cliquez sur ce nouveau dossier DiagHelp

# La liste des fichiers est alors accessible

# Double-cliquez sur le fichier go.cmd (le .cmd peut ne pas apparaître).

* Une fenêtre noire apparaît avec le menu des choix disponibles (1,2,3,Q).

* Pour choisir l'action à effectuer vous devez taper le numéro 1 2 3 ou Q pour quitter.

Choisissez l'option 1

* Après avoir choisi l'option 1 (touche 1 puis Entrée sur le menu), une fenêtre explicative s'ouvre.

* Lisez attentivement le contenu de la fenêtre puis appuez sur une touche pour continuer DiagHelp

* Lors du scan l'écran devient rouge.

* Lorsque les lignes hidden service et hidden files apparaîssent appuyer sur la touche Entrée pour poursuivre le scan

* Il peut vous être demandé de transmettre un fichier contenant des éléments infectieux collectés sur votre ordinateur.

* Pour cela lisez le contenu du message, puis appuyez sur une touche, le site http://upload.malekal.com va alors s'ouvrir.

* Sur le site, cliquez sur le bouton parcourir et sélectionnez le fichier c:\upload_moi_xxxxx.zip, pour cela :

o Cliquez sur le poste de travail

o Double-cliquez sur le disque C

o Sélectionnez le fichier upload_moi_xxx.zip

* Cliquez alors sur le bouton Envoyer fichier.

* Une fois l'envoie effectué, sur la fenêtre noire appuyer sur une touche pour passer à l'étape suivante.

Postez le rapport ici

Alex36 · le 27 décembre 2008

euh je n'ai pas eu de fichier dans c:\upload_moi_xxxx.zip

c'est normal

enttout cas voila le rapport

SCAN DIAGHELP

DiagHelp version v1.4 - http://www.malekal.com

excute le 27/12/2008 à 12:43:52,32

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->27/12/2008 12:43:12

C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->27/12/2008 12:43:11

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->27/12/2008 12:43:10

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->27/12/2008 12:42:24

C:\WINDOWS\prefetch\CONTROL.EXE-013DBFB5.pf -->27/12/2008 12:42:22

C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->27/12/2008 12:42:20

C:\WINDOWS\prefetch\RUNDLL32.EXE-1831A4F3.pf -->27/12/2008 12:42:14

C:\WINDOWS\prefetch\WLMAIL.EXE-16F261CF.pf -->27/12/2008 12:40:16

C:\WINDOWS\prefetch\VLC.EXE-22DF01AA.pf -->27/12/2008 12:29:29

C:\WINDOWS\prefetch\EXPORTCONTROLLER.EXE-0303443A.pf -->27/12/2008 12:29:22

C:\WINDOWS\System32\drivers\gmer.sys -->27/12/2008 10:44:52

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->03/12/2008 19:52:38

C:\WINDOWS\System32\drivers\mbam.sys -->03/12/2008 19:52:34

C:\WINDOWS\System32\drivers\usbaapl.sys -->07/11/2008 14:23:30

C:\WINDOWS\System32\drivers\avipbb.sys -->30/10/2008 10:21:03

C:\WINDOWS\System32\drivers\mrxsmb.sys -->24/10/2008 12:21:09

C:\WINDOWS\System32\drivers\srv.sys -->08/09/2008 11:41:42

C:\WINDOWS\System32\ati64hlp.stb -->27/12/2008 09:16:51

C:\WINDOWS\System32\perfh00C.dat -->22/12/2008 15:36:10

C:\WINDOWS\System32\perfc00C.dat -->22/12/2008 15:36:10

C:\WINDOWS\System32\perfh009.dat -->22/12/2008 15:36:09

C:\WINDOWS\System32\perfc009.dat -->22/12/2008 15:36:09

C:\WINDOWS\System32\PerfStringBackup.INI -->22/12/2008 15:36:08

C:\WINDOWS\System32\FNTCACHE.DAT -->22/12/2008 15:35:39

C:\WINDOWS\System32\wpa.dbl -->22/12/2008 15:34:52

C:\WINDOWS\System32\spupdwxp.log -->22/12/2008 15:34:24

C:\WINDOWS\System32\PDF2IMG.dat -->22/12/2008 10:23:17

C:\WINDOWS\System32\megastore.ini -->21/12/2008 14:45:56

C:\WINDOWS\System32\javaws.exe -->20/12/2008 09:14:41

C:\WINDOWS\System32\javaw.exe -->20/12/2008 09:14:41

C:\WINDOWS\System32\javacpl.cpl -->20/12/2008 09:14:41

C:\WINDOWS\System32\java.exe -->20/12/2008 09:14:41

C:\WINDOWS\System32\deploytk.dll -->20/12/2008 09:14:40

C:\WINDOWS\System32\TZLog.log -->18/12/2008 19:22:53

C:\WINDOWS\System32\nscompat.tlb -->18/12/2008 18:53:43

C:\WINDOWS\System32\amcompat.tlb -->18/12/2008 18:53:43

C:\WINDOWS\System32\h323log.txt -->18/12/2008 18:51:14

C:\WINDOWS\System32\$winnt$.inf -->18/12/2008 17:58:42

C:\WINDOWS\System32\CONFIG.NT -->18/12/2008 17:56:46

C:\WINDOWS\System32\WindowsLogon.manifest -->18/12/2008 17:55:42

C:\WINDOWS\System32\logonui.exe.manifest -->18/12/2008 17:55:42

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->18/12/2008 17:55:37

C:\WINDOWS\WindowsUpdate.log -->27/12/2008 11:18:37

C:\WINDOWS\gmer.ini -->27/12/2008 10:44:55

C:\WINDOWS\gmer_uninstall.cmd -->27/12/2008 10:44:52

C:\WINDOWS\gmer.dll -->27/12/2008 10:44:52

C:\WINDOWS\0.log -->27/12/2008 09:54:15

C:\WINDOWS\wiadebug.log -->27/12/2008 09:54:12

C:\WINDOWS\wiaservc.log -->27/12/2008 09:54:08

C:\WINDOWS\bootstat.dat -->27/12/2008 09:54:00

C:\WINDOWS\ntbtlog.txt -->27/12/2008 09:42:44

C:\WINDOWS\system.ini -->27/12/2008 09:41:55

C:\WINDOWS\SchedLgU.Txt -->27/12/2008 01:22:08

C:\WINDOWS\setupapi.log -->26/12/2008 19:46:31

C:\WINDOWS\WININIT.INI -->26/12/2008 19:42:26

C:\WINDOWS\NeroDigital.ini -->26/12/2008 17:52:12

C:\WINDOWS\wmsetup.log -->25/12/2008 20:00:49

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

explorer.exe pid: 1412

Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path

0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll

0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll

0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll

0x44080000 0xd0000 7.00.6000.16762 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16762 C:\WINDOWS\system32\iertutil.dll

0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll

0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll

0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll

0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cd000 7.00.6000.16762 C:\WINDOWS\system32\ieframe.dll

0x44160000 0x127000 7.00.6000.16762 C:\WINDOWS\system32\urlmon.dll

0x442b0000 0x3c000 7.00.6000.16762 C:\WINDOWS\system32\webcheck.dll

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

0x00e10000 0x19000 2.00.0000.0016 C:\Program Files\SuperCopier2\SC2Hook.dll

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

0x02760000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL

0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCR71.dll

0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll

0x02920000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x02990000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x75ed0000 0x13000 5.131.2600.5512 C:\WINDOWS\system32\cryptnet.dll

0x10000000 0x6000 C:\Program Files\Unlocker\UnlockerCOM.dll

0x01980000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll

0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll

0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x4eb80000 0x1a6000 5.01.3102.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\gdiplus.dll

0x086d0000 0x247000 10.00.0000.4066 C:\WINDOWS\system32\wmvcore.dll

0x070d0000 0x3b000 10.00.0000.4060 C:\WINDOWS\system32\WMASF.DLL

0x73600000 0x7000 6.05.2600.5512 C:\WINDOWS\system32\msdmo.dll

0x03270000 0x16000 0.07.0000.0000 C:\WINDOWS\system32\AC3ACM.acm

0x01920000 0x14000 2.00.0006.0001 C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll

0x03ca0000 0x102000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL

0x01d50000 0x2e000 C:\Program Files\WinRAR\rarext.dll

0x00e50000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

winlogon.exe pid: 508

Command line: winlogon.exe

Base Size Version Path

0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe

0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll

0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll

0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll

0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll

0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x10000000 0x17000 6.14.0010.4105 C:\WINDOWS\system32\Ati2evxx.dll

0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2CDA-5998

Répertoire de C:\WINDOWS\system32

14/04/2008 03:33 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 9 426 477 056 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2CDA-5998

Répertoire de C:\WINDOWS\Downloaded Program Files

19/12/2008 17:03 <REP> .

19/12/2008 17:03 <REP> ..

18/12/2008 17:55 65 desktop.ini

29/07/2008 00:50 1 292 erma.inf

04/10/2008 20:16 1 887 080 FP_AX_CAB_INSTALLER.exe

04/10/2008 20:08 247 swflash.inf

4 fichier(s) 1 888 684 octets

Total des fichiers listés :

4 fichier(s) 1 888 684 octets

2 Rép(s) 9 426 472 960 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"I:\\Program Files\\uTorrent\\uTorrent.exe"="I:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

"I:\\Program Files\\TmNationsForever\\TmForever.exe"="I:\\Program Files\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"

"I:\\Bacups\\BACKUP\\Program Files\\LimeWire\\LimeWire.exe"="I:\\Bacups\\BACKUP\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Program Files\\Namo\\WebEditor 5 Trial\\bin\\WebEditor.exe"="C:\\Program Files\\Namo\\WebEditor 5 Trial\\bin\\WebEditor.exe:*:Enabled:Namo WebEditor 5"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"I:\\Program Files\\iTunes\\iTunes.exe"="I:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"DisableRegistryTools"=dword:00000000

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 12:44:10

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40]

"khjeh"=hex:20,02,00,00,4e,55,f9,f2,7f,e0,98,41,4a,4b,a7,cf,83,76,2f,a8,84,..

"hj34z0"=hex:53,42,f0,f1,e5,16,b1,bb,55,3a,38,dc,1a,19,07,ea,fa,db,46,65,bd,..

"hj34z1"=hex:9e,42,f0,f1,9d,16,b1,bb,54,3a,39,dc,1b,19,07,ea,fa,db,46,65,c9,..

"hj34z2"=hex:9e,42,f0,f1,9d,16,b1,bb,54,3a,39,dc,1b,19,07,ea,fa,db,46,65,c9,..

"hj34z3"=hex:9e,42,f0,f1,9d,16,b1,bb,54,3a,39,dc,1b,19,07,ea,fa,db,46,65,c9,..

"hj34z4"=hex:9e,42,f0,f1,9d,16,b1,bb,54,3a,39,dc,1b,19,07,ea,fa,db,46,65,c9,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}]

"DisplayName"="DAEMON Tools"

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

140 - WLANUTL.exe

208 - firefox.exe

272 - avgnt.exe

400 - atiptaxx.exe

436 - ctfmon.exe

484 - csrss.exe

508 - winlogon.exe

556 - services.exe

568 - lsass.exe

740 - svchost.exe

820 - svchost.exe

856 - svchost.exe

944 - svchost.exe

1204 - sched.exe

1412 - explorer.exe

1516 - avguard.exe

1528 - AppleMobileDevi

1612 - mDNSResponder.e

1640 - FileZilla serve

1664 - jqs.exe

1780 - svchost.exe

1808 - MDM.EXE

1824 - alg.exe

2404 - wlmail.exe

2952 - iPodService.exe

3068 - wscntfy.exe

3404 - cmd.exe

4024 - usnsvc.exe

Total number of processes = 29

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806D0000 - \WINDOWS\system32\hal.dll

BADA8000 - \WINDOWS\system32\KDCOM.DLL

BACB8000 - \WINDOWS\system32\BOOTVID.dll

BA780000 - d346bus.sys

BA751000 - ACPI.sys

BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

BA740000 - pci.sys

BA8A8000 - isapnp.sys

BA8B8000 - ohci1394.sys

BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

BAE70000 - pciide.sys

BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

BA8D8000 - MountMgr.sys

BA721000 - ftdisk.sys

BADAC000 - dmload.sys

BA6FB000 - dmio.sys

BAB30000 - PartMgr.sys

BA8E8000 - VolSnap.sys

BA6E3000 - atapi.sys

BA6CF000 - nvatabus.sys

BADAE000 - d346prt.sys

BA6B7000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

BA8F8000 - disk.sys

BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

BA697000 - fltmgr.sys

BA685000 - sr.sys

BA66E000 - KSecDD.sys

BA5E1000 - Ntfs.sys

BA5B4000 - NDIS.sys

BAB38000 - nv_agp.sys

BA59A000 - Mup.sys

BAAE8000 - \SystemRoot\system32\DRIVERS\nic1394.sys

BA938000 - \SystemRoot\system32\DRIVERS\AmdK8.sys

BABA0000 - \SystemRoot\system32\DRIVERS\fdc.sys

B9B42000 - \SystemRoot\system32\DRIVERS\parport.sys

BAD40000 - \SystemRoot\system32\DRIVERS\gameenum.sys

BAF59000 - \SystemRoot\system32\drivers\msmpu401.sys

B9B1E000 - \SystemRoot\system32\drivers\portcls.sys

BA948000 - \SystemRoot\system32\drivers\drmk.sys

B9AFB000 - \SystemRoot\system32\drivers\ks.sys

BA958000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

BABA8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

BABB0000 - \SystemRoot\system32\DRIVERS\mouclass.sys

B9AEA000 - \SystemRoot\system32\DRIVERS\serial.sys

BA024000 - \SystemRoot\system32\DRIVERS\serenum.sys

BABB8000 - \SystemRoot\system32\DRIVERS\usbohci.sys

B9AC6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

BABC0000 - \SystemRoot\system32\DRIVERS\usbehci.sys

BA020000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys

B9A7C000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS

B9A45000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS

BA968000 - \SystemRoot\system32\DRIVERS\imapi.sys

BABC8000 - \SystemRoot\system32\drivers\Afc.sys

BABD0000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

BADE2000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

BABD8000 - \SystemRoot\System32\Drivers\AnyDVD.sys

BA978000 - \SystemRoot\system32\DRIVERS\cdrom.sys

BA988000 - \SystemRoot\system32\DRIVERS\redbook.sys

BA01C000 - \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys

AA0EE000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

AA0DA000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

AA569000 - \SystemRoot\system32\DRIVERS\audstub.sys

AAF71000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

AB8FF000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

AA0C3000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

AAF61000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

AAF51000 - \SystemRoot\system32\DRIVERS\raspptp.sys

AA2F7000 - \SystemRoot\system32\DRIVERS\TDI.SYS

AA0B2000 - \SystemRoot\system32\DRIVERS\psched.sys

AAF41000 - \SystemRoot\system32\DRIVERS\msgpc.sys

AF9CA000 - \SystemRoot\system32\DRIVERS\ptilink.sys

B975A000 - \SystemRoot\system32\DRIVERS\raspti.sys

AA082000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

AACA6000 - \SystemRoot\system32\DRIVERS\termdd.sys

ABD37000 - \SystemRoot\system32\DRIVERS\swenum.sys

AA024000 - \SystemRoot\system32\DRIVERS\update.sys

AAE4E000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

AAC96000 - \SystemRoot\System32\Drivers\NDProxy.SYS

AAC86000 - \SystemRoot\system32\DRIVERS\usbhub.sys

ABD35000 - \SystemRoot\system32\DRIVERS\USBD.SYS

B9782000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

ABD33000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

AA2B0000 - \SystemRoot\System32\Drivers\Null.SYS

ABD31000 - \SystemRoot\System32\Drivers\Beep.SYS

B90BF000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

B9762000 - \SystemRoot\System32\drivers\vga.sys

ABD2F000 - \SystemRoot\System32\Drivers\mnmdd.SYS

ABD2D000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

AF9C2000 - \SystemRoot\System32\Drivers\Msfs.SYS

AF9BA000 - \SystemRoot\System32\Drivers\Npfs.SYS

AA3B1000 - \SystemRoot\system32\DRIVERS\rasacd.sys

99FD1000 - \SystemRoot\system32\DRIVERS\ipsec.sys

99F78000 - \SystemRoot\system32\DRIVERS\tcpip.sys

99F50000 - \SystemRoot\system32\DRIVERS\netbt.sys

99F2E000 - \SystemRoot\System32\drivers\afd.sys

AAC46000 - \SystemRoot\system32\DRIVERS\netbios.sys

AF9B2000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys

99F03000 - \SystemRoot\system32\DRIVERS\rdbss.sys

99E93000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

AAC26000 - \SystemRoot\System32\Drivers\Fips.SYS

99E6D000 - \SystemRoot\system32\DRIVERS\ipnat.sys

AAC16000 - \SystemRoot\system32\DRIVERS\wanarp.sys

AA668000 - \SystemRoot\system32\DRIVERS\arp1394.sys

99E5C000 - \SystemRoot\system32\DRIVERS\avipbb.sys

ABB41000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys

AA638000 - \SystemRoot\System32\Drivers\Cdfs.SYS

AF9AA000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

AF9A2000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

99D01000 - \SystemRoot\system32\drivers\c6501.sys

99CED000 - \SystemRoot\System32\Drivers\dump_nvatabus.sys

ABB3B000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

B56C8000 - \SystemRoot\System32\drivers\Dxapi.sys

AF992000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

BAFC9000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA0D000 - \SystemRoot\System32\ati2cqag.dll

BFA47000 - \SystemRoot\System32\ati3duag.dll

BFC6A000 - \SystemRoot\System32\ativvaxx.dll

BFFA0000 - \SystemRoot\System32\ATMFD.DLL

B6351000 - \SystemRoot\system32\DRIVERS\mdc8021x.sys

99C48000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

BAE60000 - \SystemRoot\System32\Drivers\ParVdm.SYS

99B94000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

BADB2000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

99B2F000 - \SystemRoot\system32\drivers\wdmaud.sys

BAA18000 - \SystemRoot\system32\drivers\sysaudio.sys

999EF000 - \SystemRoot\system32\DRIVERS\srv.sys

99524000 - \SystemRoot\System32\Drivers\HTTP.sys

B1FCC000 - \??\C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\mc21.tmp

996E9000 - \??\C:\WINDOWS\system32\PCANDIS5.SYS

99488000 - \SystemRoot\System32\Drivers\Fastfat.SYS

BAC38000 - \SystemRoot\System32\Drivers\usbaapl.sys

99117000 - \SystemRoot\system32\DRIVERS\WlanUIG.sys

990C6000 - \SystemRoot\System32\DRIVERS\gmer.sys

98F5B000 - \SystemRoot\system32\drivers\kmixer.sys

AA4E0000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 139

Liste des programmes installes

Adobe After Effects CS3

Adobe After Effects CS3 Presets

Adobe Anchor Service CS3

Adobe Asset Services CS3

Adobe Bridge CS3

Adobe Bridge Start Meeting

Adobe Camera Raw 4.0

Adobe CMaps

Adobe Color - Photoshop Specific

Adobe Color Common Settings

Adobe Default Language CS3

Adobe Device Central CS3

Adobe ExtendScript Toolkit 2

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Fonts All

Adobe Help Viewer CS3

Adobe Linguistics CS3

Adobe MotionPicture Color Files

Adobe PDF Library Files

Adobe Photoshop 7.0

Adobe Reader 8.1.0 - Français

Adobe Setup

Adobe Type Support

Adobe Update Manager CS3

Adobe Version Cue CS3 Client

Adobe Video Profiles

Adobe XMP DVA Panels CS3

Adobe XMP Panels CS3

AnyDVD

Apple Mobile Device Support

Apple Software Update

Archiveur WinRAR

ArcSoft Software Suite

Ashampoo MP3 AudioCenter

ASIO4ALL

Assistant de connexion Windows Live

ATI - Utilitaire de désinstallation du logiciel

ATI Control Panel

ATI Display Driver

Avira AntiVir Personal - Free Antivirus

AviSynth 2.5

AVS Video Converter 4.3.1.371

Blender (remove only)

Bonjour

C-Media 6501 Sound

Camtasia Studio 5

CloneCD

CloneDVD2

Commande ECHO désactivée.

Correctif pour Windows XP (KB952287)

DynDNS Updater

eMule

EVEREST Home Edition v2.20

ffdshow [rev 1703] [2007-12-15]

FileZilla Server (remove only)

FL Studio v7.0

Genesis Vst

HijackThis 2.0.2

Image Line Morphine v1.1 VSTi

iTunes

Java 6 Update 11

Keylight 1.2v8 for After Effects CS3

Lecteur Windows Media 10

LiveBox

Malwarebytes' Anti-Malware

MegaStore

MeowMultiSound 1.00

Messenger Plus! Live

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0

Microsoft Application Error Reporting

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edition 2003

Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)

Microsoft Visual C++ 2005 Redistributable

Mise à jour de sécurité pour Lecteur Windows Media (KB952069)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB938464)

Mise à jour de sécurité pour Windows XP (KB941569)

Mise à jour de sécurité pour Windows XP (KB946648)

Mise à jour de sécurité pour Windows XP (KB950762)

Mise à jour de sécurité pour Windows XP (KB950974)

Mise à jour de sécurité pour Windows XP (KB951066)

Mise à jour de sécurité pour Windows XP (KB951376-v2)

Mise à jour de sécurité pour Windows XP (KB951698)

Mise à jour de sécurité pour Windows XP (KB952954)

Mise à jour de sécurité pour Windows XP (KB954211)

Mise à jour de sécurité pour Windows XP (KB954459)

Mise à jour de sécurité pour Windows XP (KB954600)

Mise à jour de sécurité pour Windows XP (KB955069)

Mise à jour de sécurité pour Windows XP (KB956391)

Mise à jour de sécurité pour Windows XP (KB956802)

Mise à jour de sécurité pour Windows XP (KB956803)

Mise à jour de sécurité pour Windows XP (KB956841)

Mise à jour de sécurité pour Windows XP (KB957095)

Mise à jour de sécurité pour Windows XP (KB957097)

Mise à jour de sécurité pour Windows XP (KB958644)

Mise à jour pour Windows XP (KB951978)

Mise à jour pour Windows XP (KB955839)

Mozilla Firefox (3.0.5)

MSn CoLoR Dégradé

Namo WebEditor 5.5 Evaluation

Nero 7 Demo

Notepad++

NVIDIA Drivers

oggcodecs 0.71.0946

Outil de téléchargement Windows Live

Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (04/28/2006 1.3.1.0)

PDF To Image Converter v2.0

PDFCreator

Python 2.6.1

QuickTime

Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g

Skype™ 3.6

Sony Media Manager 2.2

Sony Vegas 7.0

SUPER © Version 2008.bld.33 (Sep 2, 2008)

SuperCopier2

ThiWeb Live 2.2

Unlocker 1.8.7

UpdateIcons

VideoLAN VLC media player 0.8.6i

Videora iPod Converter 4.04

WebFldrs XP

Windows Internet Explorer 7

Windows Live installer

Windows Live Mail

Windows Live Messenger

Windows Media Format Runtime

Windows XP Service Pack 3

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2CDA-5998

Répertoire de C:\Program Files

27/12/2008 12:27 <REP> .

27/12/2008 12:27 <REP> ..

26/12/2008 13:45 <REP> Adobe

23/12/2008 22:10 <REP> Apple Software Update

26/12/2008 13:42 <REP> ArcSoft

18/12/2008 21:55 <REP> ASIO4ALL v2

26/12/2008 19:46 <REP> ATI Technologies

22/12/2008 10:14 <REP> Avira

24/12/2008 12:31 <REP> AviSynth 2.5

23/12/2008 22:11 <REP> Bonjour

18/12/2008 18:04 <REP> C-Media 6501 Sound

18/12/2008 17:53 <REP> ComPlus Applications

18/12/2008 21:39 <REP> DAMN NFO Viewer

18/12/2008 18:05 <REP> DIFX

18/12/2008 18:32 <REP> D-Tools

18/12/2008 21:02 <REP> DynDNS Updater

18/12/2008 19:48 <REP> Elaborate Bytes

26/12/2008 22:51 <REP> eMule

24/12/2008 12:14 <REP> eRightSoft

18/12/2008 19:01 <REP> ffdshow

27/12/2008 09:41 <REP> Fichiers communs

18/12/2008 19:55 <REP> FileZilla Server

20/12/2008 09:14 <REP> illiminable

18/12/2008 19:20 <REP> Image-Line

18/12/2008 21:50 <REP> Internet Explorer

23/12/2008 22:12 <REP> iPod

24/12/2008 00:39 <REP> IVCsoft

20/12/2008 09:14 <REP> Java

18/12/2008 18:09 <REP> Lavalys

20/12/2008 14:04 <REP> Malwarebytes' Anti-Malware

21/12/2008 14:43 <REP> MegaWorld

22/12/2008 15:19 <REP> Messenger

18/12/2008 22:03 <REP> Messenger Plus! Live

18/12/2008 17:57 <REP> microsoft frontpage

18/12/2008 18:45 <REP> Microsoft Office

18/12/2008 21:56 <REP> Microsoft SQL Server

18/12/2008 18:44 <REP> Microsoft Visual Studio

20/12/2008 17:19 <REP> Microsoft Works

18/12/2008 18:44 <REP> Microsoft.NET

22/12/2008 15:16 <REP> Movie Maker

27/12/2008 12:21 <REP> Mozilla Firefox

18/12/2008 17:53 <REP> MSN

18/12/2008 22:27 <REP> MSn CoLoR Dégradé

18/12/2008 17:53 <REP> MSN Gaming Zone

23/12/2008 08:56 <REP> MSN Messenger

20/12/2008 12:35 <REP> Namo

18/12/2008 22:29 <REP> Nero

22/12/2008 15:13 <REP> NetMeeting

20/12/2008 09:10 <REP> Notepad++

18/12/2008 17:53 <REP> Online Services

22/12/2008 15:13 <REP> Outlook Express

21/12/2008 20:10 <REP> PDF2Image v2.0

21/12/2008 19:27 <REP> PDFCreator

23/12/2008 22:11 <REP> QuickTime

18/12/2008 18:19 <REP> SAGEM

18/12/2008 18:19 <REP> SAGEM Wi-Fi USB 802.11g

18/12/2008 17:55 <REP> Services en ligne

18/12/2008 18:32 <REP> Skype

18/12/2008 19:47 <REP> SlySoft

18/12/2008 19:46 <REP> Sony Setup

18/12/2008 19:17 <REP> Steinberg

25/12/2008 19:43 <REP> SuperCopier2

22/12/2008 17:13 <REP> The Foundry

18/12/2008 21:52 <REP> ThiWeb Live 2

19/12/2008 23:42 <REP> Trapcode

22/12/2008 10:02 <REP> trend micro

19/12/2008 23:42 36 868 uninst-3DStroke.exe

25/12/2008 09:33 <REP> Unlocker

27/12/2008 12:27 <REP> UpdateIcons

26/12/2008 17:51 <REP> VideoLAN

18/12/2008 21:54 <REP> Vstplugins

19/12/2008 23:44 <REP> Windows Live

19/12/2008 23:25 <REP> Windows Live SkyDrive

22/12/2008 15:13 <REP> Windows Media Player

22/12/2008 15:13 <REP> Windows NT

18/12/2008 21:25 <REP> WinRAR

18/12/2008 17:57 <REP> xerox

1 fichier(s) 36 868 octets

76 Rép(s) 9 426 329 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2CDA-5998

Répertoire de C:\Program Files\fichiers communs

27/12/2008 09:41 <REP> .

27/12/2008 09:41 <REP> ..

26/12/2008 13:45 <REP> Adobe

18/12/2008 22:40 <REP> Ahead

23/12/2008 22:12 <REP> Apple

26/12/2008 13:43 <REP> ArcSoft

24/12/2008 18:08 <REP> AVSMedia

18/12/2008 18:45 <REP> DESIGNER

18/12/2008 18:59 <REP> InstallShield

18/12/2008 19:45 <REP> Macrovision Shared

20/12/2008 17:19 <REP> Microsoft Shared

18/12/2008 17:54 <REP> MSSoap

18/12/2008 18:28 <REP> ODBC

18/12/2008 17:54 <REP> Services

18/12/2008 18:32 <REP> Skype

18/12/2008 18:28 <REP> SpeechEngines

22/12/2008 15:13 <REP> System

23/12/2008 23:51 <REP> TechSmith Shared

19/12/2008 23:14 <REP> Windows Live

0 fichier(s) 0 octets

19 Rép(s) 9 426 329 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2CDA-5998

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

20/12/2008 17:19 <REP> .

20/12/2008 17:19 <REP> ..

18/12/2008 18:45 <REP> 1033

20/12/2008 17:19 <REP> 1036

20/09/2005 12:33 1 293 008 MSONSEXT.DLL

22/03/2007 19:29 39 256 MSOSV.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

11/07/2003 02:25 80 448 PKMWS.DLL

5 fichier(s) 1 662 682 octets

4 Rép(s) 9 426 321 408 octets libres

c:\Documents and Settings\Alexandre\Application Data\Sony Setup\09063B41-0916-4360-A80D-0C2A2B89D300\dotnetfx.exe

c:\Documents and Settings\Alexandre\Bureau\6-11-pre-r300_xp-2k_dd_ccc_wdm_38185.exe

c:\Documents and Settings\Alexandre\Bureau\catchme.exe

c:\Documents and Settings\Alexandre\Bureau\HiJackThis.exe

c:\Documents and Settings\Alexandre\Bureau\PDFCreator-0_9_6_setup2.exe

c:\Documents and Settings\Alexandre\Bureau\SuperCopier2beta1-9.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\directx_nov2008_redist.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\internet_video_converter_fr.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\iTunesSetup.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\jxpiinstall-6u11-fcs-bin-b90-windows-i586-25_nov_2008.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\SUPERsetup.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\videora-ipod-404-setup.exe

c:\Documents and Settings\Alexandre\Bureau\BORDEL\WLinstaller.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Alexandre\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Alexandre\Bureau\Utile\FileZilla\FileZilla.exe

c:\Documents and Settings\Alexandre\Bureau\Utile\FileZilla\FzSFtp.exe

c:\Documents and Settings\Alexandre\Bureau\Utile\FileZilla\uninstall.exe

c:\Documents and Settings\Alexandre\Local Settings\Temporary Internet Files\Content.IE5\9MQZ7SHH\HiJackThis[1].exe

c:\Documents and Settings\Alexandre\Mes documents\Downloads\ipod wizard v1.3\iPodWizard.exe

c:\Documents and Settings\Alexandre\Mes documents\Downloads\Sonic The Hedgehog Ipod Game\Rar.exe

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.0.2.20\SetupAdmin.exe

c:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DifXInstall32.exe

c:\Documents and Settings\Alexandre\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\10\6bc65f4a-2b285df9-n\Decora-SSE.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\11\4b13650b-4b0169e4-n\jogl.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\11\4b13650b-4b0169e4-n\jogl_awt.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\11\4b13650b-4b0169e4-n\jogl_cg.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\53\5e8cbb75-3a5a591e-n\Decora-D3D.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\55\35fdae37-1da28e78-n\jmc.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\55\35fdae37-1da28e78-n\msvcp71.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\55\35fdae37-1da28e78-n\msvcr71.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\59\252441bb-6776f603-n\gluegen-rt.dll

c:\Documents and Settings\Alexandre\Application Data\Sun\Java\jre1.6.0_11\lzma.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DIFxAPI.dll

c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86\GEARAspi.dll

****** Fin du rapport DiagHelp

pear · le 27 décembre 2008

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix par AndyManchesta

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

Redémarrer en mode sans échec

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt

* Postez le rapport ici.

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Alex36 · le 27 décembre 2008

RAPPORT SDFIX

SDFix: Version 1.240

Run by Administrateur on 27/12/2008 at 13:24

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 13:32:03

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40]

"khjeh"=hex:20,02,00,00,67,4c,84,f3,a4,e1,56,30,0b,2e,69,5c,d4,8d,f7,c4,5d,..

"hj34z0"=hex:88,43,3e,80,a4,73,7f,28,02,c1,e0,b0,c3,d9,58,dd,f1,5e,ec,c0,6c,..

"hj34z1"=hex:45,43,3e,80,dc,73,7f,28,03,c1,e1,b0,c2,d9,58,dd,f1,5e,ec,c0,18,..

"hj34z2"=hex:45,43,3e,80,dc,73,7f,28,03,c1,e1,b0,c2,d9,58,dd,f1,5e,ec,c0,18,..

"hj34z3"=hex:45,43,3e,80,dc,73,7f,28,03,c1,e1,b0,c2,d9,58,dd,f1,5e,ec,c0,18,..

"hj34z4"=hex:45,43,3e,80,dc,73,7f,28,03,c1,e1,b0,c2,d9,58,dd,f1,5e,ec,c0,18,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}]

"DisplayName"="DAEMON Tools"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:00000147

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"I:\\Program Files\\uTorrent\\uTorrent.exe"="I:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"