internet Résolu

Question

Bonjour, il y a un site chinois qui s'ouvre tout le temp comme ça sans que je le sache . et en plus depuis mon ordinateur devient tres lourd et se bloque

diabolo162 · Answer

slt 

on va regarder ca......

telecharge hijackthis ici : Hijackthis 

utilisation :

Double-cliquez dessus pour arriver à l'interface principale de HijackThis.

cliquez sur "Do a system scan and save a logfile" 

Le scan s'effectue rapidement...

celui-ci s'ouvre dans le bloc-notes.Remarque : le rapport ("hijackthis.log") est également enregistré dans le dossier où vous avez placé HijackThis.exe

poste le rapport ici.

diabolo162 · Answer

c'est pas le rapport demandé !!!
poste rapport hijackthis

zedjiga · Answer

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:45:39, on 07/02/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Program Files\MSN Messenger\MsnMsgr.Exe D:\Program Files\Skype\Phone\Skype.exe E:\WZQKPICK.EXE D:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\wuauclt.exe d:\program files\internet explorer\iexplore.exe D:\Documents and Settings\ghanou chaouch\Local Settings\Temporary Internet Files\Content.IE5\J1DCOXVW\HiJackThis[1].exe D:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: WinZip Quick Pick.lnk = E:\WZQKPICK.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O17 - HKLM\System\CCS\Services\Tcpip\..\{41456EFF-309B-486B-9ACA-3739E2AE3EDD}: NameServer = 208.67.222.222 193.55.10.102 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: D:\WINDOWS\system32\dnsq.dll O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe (file missing) O24 - Desktop Component 0: (no name) - https://www.luanagames.com/index.fr.html target='_blank'>

diabolo162 · Answer

refait un hijackthis 

cliquez sur "Do a system scan 

coche les cases suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

clic sur fix checked

1/ 
telecharger et installer sur le bureau navilog : http://www.commentcamarche.net/telecharger/telecharger 34056239 navilog
double-cliquez sur le raccourci "navilog1" sur votre bureau.
Appuyez sur la lettre f de votre clavier puis sur la touche Entrée
Tapez 1, puis appuyez sur la touche Entrée de votre clavier.
Ainsi Navilog1 va effectuer la recherche des fichiers infectieux sur votre PC : soyez patient, cela peut prendre une dizaine de minutes...
Navilog1 vous informe que la recherche est terminée :
ppuyez sur une touche de votre clavier pour afficher le rapport qu'il a généré.
Poster le rapport ici !

Thomas Sankara · Answer

supprime tous les fichier temporaire internet explorer 
et tu fais msconfig pour desactiver les service au demarage sauf ton anti virus c'est lequel d'ailleur tu utilise?

diabolo162 · Answer

oups petite inadvertance..........merci trying2

diabolo162 · Answer

telecharge AntiVir et installe

zedjiga · Answer

merci a vous tous . le parfeu se desactive a chaque demarage et pour l'anti virus on ma deja conseiller sur commentcamarche   malwarebytes anti maleware .et je l'ai toijours . il reste autre chose . les sites chinois qui m'envahissent sans autorisations que dois je en faire . merci encore .

diabolo162 · Answer

bon j'ai toujours pas eu le rapport de navilog

telecharger et installer sur le bureau navilog : https://www.commentcamarche.net/telecharger/ 34056239 navilog 
double-cliquez sur le raccourci "navilog1" sur votre bureau. 
Appuyez sur la lettre f de votre clavier puis sur la touche Entrée 
Tapez 1, puis appuyez sur la touche Entrée de votre clavier. 
Ainsi Navilog1 va effectuer la recherche des fichiers infectieux sur votre PC : soyez patient, cela peut prendre une dizaine de minutes... 
Navilog1 vous informe que la recherche est terminée : 
ppuyez sur une touche de votre clavier pour afficher le rapport qu'il a généré. 
Poster le rapport ici !

zedjiga · Answer

bonjour . navilog est sur mon bureau mais il fonctione pas je recoi ce message : the set up kiles are corrupted please obtain a new copy of this program.

diabolo162 · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide.

redemarre 

clic droit sur le fichier "navilog" et choisi "effectuer en tant que administrateur"

zedjiga · Answer

je ne trouve pa desactiver ya que modifier

zedjiga · Answer

est ce que je doi suprimer le compte d'utilisateur?

diabolo162 · Answer

et ca ...ca marche?

clic droit sur le fichier "navilog" et choisi "effectuer en tant que administrateur

diabolo162 · Answer

non non ne SUPPRIME rien......!!!!

clic droit sur navilog et choisi "effectuer en tant que administrateur"

Déconnecte-toi et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. /!\

diabolo162 · Answer

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant qu' Administrateur". 

* Sur le menu principal, choisis 2. 
* Suis les instructions et patiente. 
* L'outil va t'informer qu'il redémarrera ton ordinateur. 
* Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. 
* Appuie sur une touche ainsi que demandé. 
* Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. 
* Choisis ta session habituelle si nécessaire. 
Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). 
Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. 
* Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. 
Referme le Bloc-notes. 
Ton Bureau va réapparaître. 


Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

diabolo162 · Answer

Redemarre en « mode sans echec » en tapotant touche F8

Double-cliquez sur le raccourci "navilog1" sur votre bureau et réitérez les mêmes opérations article jusqu'à arriver au menu de Navilog1 :
 lancer le nettoyage automatique, tapez 2, puis appuyez sur la touche Entrée de votre clavier.
Laissez Navilog1 travailler et soyez patient !
Il vous demandera d'enregistrer vos documents en cours d'utilisation, car il aura besoin de redémarrer votre PC.
Quand vous serez prêt à redémarrer le PC, appuyez sur une touche de votre clavier et laissez Navilog1 opérer.
Une fois votre PC redémarré, Navilog1 terminera la désinfection et il vous fournira un rapport de désinfection.
Poster le rapport ici !

zedjiga · Answer

Bon appetit dabord . il veut pas redemarer en mode sans echec a chaque fois il s'eteint .

diabolo162 · Answer

Télécharge Toolbar-S&D sur ton Bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

Lance Toolbar-S&D à partir du raccourci sur le bureau

* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)


Tutoriel pour t'aider : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/

zedjiga · Answer

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.66GHz )
   BIOS : Default System BIOS
   USER : ghanou chaouch ( Administrator )
   BOOT : Normal boot
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:9 Go (Free:8 Go)
   D:\ (Local Disk) - FAT32 - Total:9 Go (Free:1 Go)
   E:\ (Local Disk) - FAT32 - Total:9 Go (Free:8 Go)
   F:\ (Local Disk)
   G:\ (CD or DVD)

   "D:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 08/02/2009|16:10 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="D:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "D:\ToolBar SD\TB_1.txt" - 08/02/2009|16:11 - Option : [1]

   -----------\  Fin du rapport a 16:11:16,23

zedjiga · Answer

dites moi monsieur , ça ?  bien sure c'esr pour ne pas trop vous derranger ............et merci encore

zedjiga · Answer

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.66GHz )
   BIOS : Default System BIOS
   USER : ghanou chaouch ( Administrator )
   BOOT : Normal boot
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:9 Go (Free:8 Go)
   D:\ (Local Disk) - FAT32 - Total:9 Go (Free:1 Go)
   E:\ (Local Disk) - FAT32 - Total:9 Go (Free:8 Go)
   F:\ (Local Disk)
   G:\ (CD or DVD)

   "D:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 08/02/2009|16:10 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="D:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "D:\ToolBar SD\TB_1.txt" - 08/02/2009|16:11 - Option : [1]

   -----------\  Fin du rapport a 16:11:16,23

zedjiga · Answer

bonsoir , vous m'avez laisser tomber . ya plus de solution mr diabolo?

diabolo162 · Answer

comment il va ton pc????

poste moi un rapport hijackthis ici stp

zedjiga · Answer

mon pc va tres mal .

diabolo162 · Answer

fait un hijackthis et poste moi le rapport stp!

zedjiga · Answer

alors une fois l'analyse terminer ça repond pad le rapport est vide . voila.......rien compris

diabolo162 · Answer

bon essai à nouveau 

clic sur "Choisis l'option "Do a system scan and save a log file" 
* Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
* Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

zedjiga · Answer

ça ne marche pas parce que quand l'analyse est terminer ça ce bloque et c'est mentionner en haut ne repond pas .

diabolo162 · Answer

ok

Nettoyage des outils: 

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau: 

Toolscleaner 

Clique sur Recherche et laisse le scan se terminer. 

Clique, sur Suppression pour finaliser. 

Tu peux, si tu le souhaites, te servir des Options facultatives. 

Clique sur Quitter, pour que le rapport puisse se créer. 

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\)

ensuite :

telecharge hijackthis : https://www.commentcamarche.net/telecharger/ 159 hijackthis

fait "do a systeme scan and save a logfile"

poste ton rapport ici!!!!!

Lyonnais92 · Answer

Bonjour,

terrible :

Xp et non Vista => pas d'UAC
pas de navipromo
pas d'infection BT

par contre : O20 - AppInit_DLLs: D:\WINDOWS\system32\dnsq.dll 

renvoie (par exemple) ici : https://www.symantec.com?md5=8f591248bbc09b867fba165237c19de1

ou ici : https://www.trendmicro.com/vinfo/us/threat-encyclopedia/search/pepagipefceo

================================

Zedjiga, peux tu faire ceci que j'en sache plus :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit 


=====================

Malwarebytes' Anti-Malware (MBAM) n'est pas un antivirus.

Et la version gratuite n'a pas de protection en temps réel.

Il faut un antivirus.

Si tu peux, fais ce qui a été demandé au post 14 (téléchargement et installation d'antivir).

Tu as un tutoriel ici : http://www.libellules.ch/tuto_antivir.php

zedjiga · Answer

bonjour , monsieur je vous assure que je fais tout ce que l'on me demande de faire mais le probleme c'est que ça ne marche pas . je viens de telecharger  RSIT . il est sur mon bureau . mais quand je clik dessus voila le message qui me parvient :  D:/Document setting / Bureau /RSIT.exe n'est pas une application win 32. merci encore .

Lyonnais92 · Answer

Bonsoir,

désolé, j'ai répondu mais mon message n'est pas passé. C'est ma faute, j'aurai du m'en souvenir.

Je vais recommencer.

Lyonnais92 · Answer

Re,

On ruse 


Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix renommé en SDTool (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

(après avoir cliqué sur le texte en bleu, attends de voir Download link et clique sur SDTool.exe)
 
Double clique sur SDTool.exe et choisis Install.
 L'outil sera extrait à la racine du lecteur système (généralement le C:\)..

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFixl sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

__________________

Si SDfix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDfix.

zedjiga · Answer

bonsoir , desolee je vous ai trop perturber avec mon probleme  mais aussi personne n'a compris mon probleme . alors laissez tomber . puisque aucune de vos solutions  ne ma aider .

Lyonnais92 · Answer

zedjiga,

je te crois, tu n'es pas la première à qui ça arrive : c'est l'infection qui bloque les outils.

Il faut désinfecter, tu ne vas pas aller loin comme ça : tes sécurités sont affaiblies, tu vas attraper d'autres infections jusqu'à ce que l'ordi plante complètement.

zedjiga · Answer

monsieur vous vouler vraiment m'aider ? vous me dites  Faites ce que l'on vous demande, ni plus, ni moins.  mais tout ce que l'on ma dit je l'ai fait mais ça na pas marcher . au bout de l'excution tout disparait . alors quoi faire ?. il me reste qu'a formater c tt.  avez vous d'autre solutions ? ....MERCIIIIIIIIIIIIIIIIIIII

Lyonnais92 · Answer

Re,

quand tu fais ce que j'ai écrit au post 53 il se passe quoi ?

C'est à quel moment que ça ne se passe pas comme prévu ?

Lyonnais92 · Answer

Re,

"oublie" le post 54 (j'ai donné un mauvais fichier, désolé)

et fais ça :


Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix renommé en SDTool (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

(après avoir cliqué sur le texte en bleu, attends de voir Download link et clique sur SDTool.exe)
 
Double clique sur SDTool.exe et choisis Install.
 L'outil sera extrait à la racine du lecteur système (généralement le C:\)..

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFixl sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

__________________

Si SDfix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDfix.

Lyonnais92 · Answer

Bonsoir,

décrit ce qui s'est passé et où ça a bloqué.

zedjiga · Answer

bon en 1er lieu j'ai cliquer sur le lien que vous m'avez donner  j'ai ensuite cliquer sur le lien bleu  . ya juste executer et enregister. je l'ai enregister et apres quand je l'ai ouvert sur mon bureau  une page s'ouvre   c 'est installed block note . j'ai executer l dans demarer comme vous l'aver demander et on me repond le fichier est introuvable . j'ai redemarer et c'est toujourd la meme chose . 

a present il y a une fenetre qui ne veut pas disparaitre de mon bureau : une exception erreur d'execution s'est produite dans le script 
  toutefois aucun debogue capable de corriger cette exception n'a ete inscrit dans la base de registres . le debogage jit distant est impossible .

Lyonnais92 · Answer

Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

D:\Documents and Settings\ghanou chaouch\Bureau\
 

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt

zedjiga · Answer

1-download /run a- squared from EMSI siftwrae
2-download /run Norman malware cleaner from norman 
3- download /run SAV32 CLI from sophos
4-download /run AUPtool from Kaspersky 

A- creat system report 
B-create service driver list 
C-create catchme log 
D-Export safe boot key 

H-add windows defaults hosts file 
R- repair safe Boot key
U- Download latest version of SDfix
   E -exit

quest ce que je dois cliquer ici ?

Lyonnais92 · Answer

Re,

si l'ordi ne veut pas démarrer en mode sans échec, SDFix ne peut pas fonctionner.

Inutile d'essayer plus longtemps.




fais un double clic sur l'icône de MBAM.

clique sur "mettre à jour" et puis sur "recherche de mise à jour".

Quand la mise à jour est faite, clique sur "recherche" puis sur "rechercher".

Laisse travailler l'outil

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Re,

normalement sur ton Bureau, un M blanc sur fond rouge

Lyonnais92 · Answer

Re,

je te le redonne :


1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

zedjiga · Answer

merci bcp ...........



Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1753
Windows 5.1.2600 Service Pack 2

12/02/2009 11:04:09
mbam-log-2009-02-12 (11-04-02).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 91302
Temps écoulé: 43 minute(s), 12 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\Com\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Lyonnais92 · Answer

Bonjour,

comme je ne sais pas si tu mis en quarantaine et supprimé, relance le scan de MBAM et poste le rapport.

Ensuite, tu fais ça :

Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...

afideg · Answer

Bonjour vous deux, et les autres.   ;)

zedjiga, ne te décourage pas.
Lyonnais92 est d'une gande valeur.
Prends ton temps; pas besoin de courir.
Confirme bien chaque fois que tu appliques une recommandation ==> ça nous aide.

Bonne journée
Al.

zedjiga · Answer

Bonsoir a tous croyer moi je fais confiancea toute l'equipe de CCM . sans exception . merci a tous .

zedjiga · Answer

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.66GHz )
BIOS : Default System BIOS
USER : ghanou chaouch ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:9 Go (Free:8 Go)
D:\ (Local Disk) - FAT32 - Total:9 Go (Free:1 Go)
E:\ (Local Disk) - FAT32 - Total:9 Go (Free:8 Go)
F:\ (Local Disk)
G:\ (CD or DVD)

12/02/2009|22:31

----------------------\  Search..

No infections found !


1 - "D:\Rooter$\Rooter_1.txt" - 12/02/2009|22:32

----------------------\  Scan completed at 22:32

Lyonnais92 · Answer

Re,

fais redémarrer to ordi et refais un scan avec MBAM.

Tu mets le rapport dans ta réponse.

zedjiga · Answer

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1753
Windows 5.1.2600 Service Pack 2

12/02/2009 23:29:27
mbam-log-2009-02-12 (23-29-17).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 94114
Temps écoulé: 38 minute(s), 59 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\Com\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Lyonnais92 · Answer

Bonjour,

soit tu ne termines pas la procédure, soit l'infection revient.

Relance de nouveau MBAM et fais bien ceci :

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
Clique  sur Suppression , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

zedjiga · Answer

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1753
Windows 5.1.2600 Service Pack 2

13/02/2009 11:07:41
mbam-log-2009-02-13 (11-07-41).txt

Type de recherche: Examen rapide
Eléments examinés: 59673
Temps écoulé: 10 minute(s), 16 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\Com\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
D:\WINDOWS\system32\Com\smss.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

Lyonnais92 · Answer

Bonjour,

OK,

fais redémarrer ton ordinateur.

================

Double clic sur Hijackthis qui est sur ton Bureau.

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

zedjiga · Answer

Bonjour . Hijakthis ne repond pas . apres l'analyse .je clique sur  save log . il ne repond pas il se bloque . j'ai essayer mainte fois . merci encore

Lyonnais92 · Answer

Re,

est ce que ceci fonctionne :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

zedjiga · Answer

Desolee ça na pas marcher encore . merci

afideg · Answer

Re,
Bonsoir

Qu'est-ce qui n'a pas marché ?
Utilise ce lien de téléchargement https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Al.

zedjiga · Answer

Re .
 voila une fois telecharger  je clique pour ouvrir , je reçois ce message  :
D/ document and setting / Bureau /zhpdiag.zip n'est pas une une application Win32 valide .
  voila ce qui ce passe monsieur  avec tout mes respect .merci.............

zedjiga · Answer

Bon j'ai pus l'ouvrir avec dossier compresses mais quand je clique sur la loupe c'est ça : 
impossible d'ouvrir D/Windows /System32/drivers/etc/HOSTS. le processus ne peut pas acceder au fichier car ce fichier est utilise par un autre processus .

afideg · Answer

Re,

Il faut d'abord l'enregistrer sur le bureau, non ?
Et ensuite suivre la procédure écrite par Lyonnais92.

Donne des nouvelles.
Merci

zedjiga · Answer

j'ai suivi les instuctions de Lyonnais 92 mots par mots . je l'ai sur mon bureau . et quand je l'ai, ouvert  j'ai cocher toutes les cases , j'ai cliquer sur la loupe et c'est le message que je vous ai envoyer . merci encore .

afideg · Answer

Re,

Sur le bureau, as-tu bien ceci  https://imageshack.com/
(clic sur Show Adv Links en bas pour avoir le lien d'affichage)
Et cliquer sur le .exe   ?

zedjiga · Answer

il s'est rien passer .

afideg · Answer

Re,

Qu'est-ce qui s'est pas passé ?

zedjiga · Answer

rien de special qand je clique sur  .exe . une fenetre s'ouvre et je vois deux images qui ne s'ouvre pas .

afideg · Answer

Re,
Peux-tu faire une capture écran des images qui ne s'ouvrent pas ?
Donc, tu cliques bien sur l'icône bureau qui s'affiche en extrayant le fichier .zip téléchargé ?

Lyonnais92 · Answer

Re,

L'infection bloque les outils.

Il faut en trouver un qu'elle a oublié.

Télécharger GMER ( http://www2.gmer.net/gmer.zip )
Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "130209.txt"
Double cliquez sur "130209.txt" ; le fichier s'ouvre dans le bloc-notes.
Copiez le contenu et collez le sur votre prochain message.

zedjiga · Answer

Re, 
 dites moi monsieur si je garde mes fichiers dans /E/ et je formate , je pourais les retrouver par la suite,?

Lyonnais92 · Answer

Re,

normalement oui.

Sauf que :

- faute de connaître l'infection, je ne sais pas si elle en redémarrera pas

- je préfererais que ta sauvegarde soit sur un disque dur externe (le formatage est une opération complexe).

zedjiga · Answer

oufffffffffffffffff, difficilement voici le raport 


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-14 00:14:54
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

?      D:\WINDOWS\system32\drivers\qnmlmi.sys                                                                                 Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.14 ----

.text  D:\WINDOWS\system32\wuauclt.exe[368] kernel32.dll!OpenProcess                                                          7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrW + FFE28DAA                                                    7C9D2175 260 Bytes  JMP 837A77EF 
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrW + FFE28EAF                                                    7C9D227A 1 Byte  [ 00 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrW + FFE28EB1                                                    7C9D227C 584 Bytes  [ 85, F1, D3, 77, 04, 06, D6, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrW + FFE290FA                                                    7C9D24C5 383 Bytes  [ 01, D4, 77, 6E, B4, D1, 77, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrW + FFE2927A                                                    7C9D2645 168 Bytes  [ 85, D3, 77, 9F, 01, D2, 77, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFree + 1C2                                                          7C9F2AC3 274 Bytes  [ 53, 48, 46, 69, 6E, 64, 5F, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFree + 2D5                                                          7C9F2BD6 118 Bytes  [ 53, 48, 47, 65, 74, 46, 69, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFree + 34C                                                          7C9F2C4D 16 Bytes  [ 53, 48, 47, 65, 74, 46, 6F, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFree + 35D                                                          7C9F2C5E 94 Bytes  [ 53, 48, 47, 65, 74, 49, 63, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFree + 3BC                                                          7C9F2CBD 62 Bytes  [ 53, 48, 47, 65, 74, 4E, 65, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHLoadOLE + C0                                                        7C9F30BD 48 Bytes  [ 53, 48, 53, 68, 65, 6C, 6C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHLoadOLE + F1                                                        7C9F30EE 117 Bytes  [ 53, 48, 53, 74, 61, 72, 74, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHLoadOLE + 167                                                       7C9F3164 217 Bytes  [ 53, 48, 56, 61, 6C, 69, 64, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILClone + 9                                                           7C9F323E 386 Bytes  [ 53, 68, 65, 53, 65, 74, 43, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILClone + 18C                                                         7C9F33C1 165 Bytes  [ 74, 72, 43, 68, 72, 49, 41, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILClone + 232                                                         7C9F3467 72 Bytes  [ 53, 74, 72, 52, 43, 68, 72, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCloneFirst + 12                                                     7C9F34B0 218 Bytes  [ 53, 74, 72, 53, 74, 72, 57, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCombine + 3C                                                        7C9F358B 68 Bytes  [ 68, 49, 73, 52, 65, 6C, 61, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCombine + 81                                                        7C9F35D0 56 Bytes  [ 55, 8B, EC, FF, 75, 08, 6A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCombine + BD                                                        7C9F360C 67 Bytes  [ 8B, FF, 55, 8B, EC, 53, 57, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCombine + 101                                                       7C9F3650 21 Bytes  [ 00, 00, 8B, F8, 39, 1D, E4, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCombine + 117                                                       7C9F3666 116 Bytes  [ 15, 68, 1A, 9D, 7C, 5E, 8B, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDesktopFolder + 64                                               7C9F3C02 4 Bytes  [ 80, 89, 7D, 0C ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDesktopFolder + 69                                               7C9F3C07 1 Byte  [ 15 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDesktopFolder + 6B                                               7C9F3C09 18 Bytes  [ 1B, 9D, 7C, FF, 75, 10, 8D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDesktopFolder + 7E                                               7C9F3C1C 57 Bytes  [ F8, 50, 53, FF, 75, 08, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDesktopFolder + B8                                               7C9F3C56 29 Bytes  [ 8B, C7, 5F, 5E, C9, C2, 0C, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHRestricted + 1                                                      7C9F4590 45 Bytes  JMP 7097D097 
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHRestricted + 31                                                     7C9F45C0 63 Bytes  [ 90, 90, 8B, FF, 55, 8B, EC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHRestricted + 71                                                     7C9F4600 21 Bytes  [ 00, 8B, 45, 0C, C9, C2, 08, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHRestricted + 87                                                     7C9F4616 22 Bytes  [ 8B, C1, 8D, 50, 04, C7, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHRestricted + 9E                                                     7C9F462D 12 Bytes  [ 00, 0F, 85, 90, 8C, 00, 00, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILRemoveLastID + 12                                                   7C9F4EE6 26 Bytes  [ 5F, 5E, 8B, C3, 5B, 5D, C2, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILRemoveLastID + 2D                                                   7C9F4F01 10 Bytes  [ 00, 73, 00, 65, 00, 44, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILRemoveLastID + 38                                                   7C9F4F0C 45 Bytes  [ 6B, 00, 74, 00, 6F, 00, 70, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILRemoveLastID + 66                                                   7C9F4F3A 13 Bytes  [ 63, 00, 79, 00, 4C, 00, 4D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILRemoveLastID + 74                                                   7C9F4F48 27 Bytes  [ 68, 00, 61, 00, 76, 00, 69, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSetSettings + 19                                                 7C9F50F6 12 Bytes  [ 45, 00, 76, 00, 65, 00, 6E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSetSettings + 26                                                 7C9F5103 4 Bytes  [ 00, 49, 00, 6E ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSetSettings + 2B                                                 7C9F5108 7 Bytes  [ 68, 00, 65, 00, 72, 00, 69 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSetSettings + 33                                                 7C9F5110 47 Bytes  [ 74, 00, 43, 00, 6F, 00, 6E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSetSettings + 63                                                 7C9F5140 19 Bytes  [ 62, 00, 56, 00, 69, 00, 65, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCLSIDFromString + 66                                                7C9F5546 51 Bytes  [ 70, 00, 53, 00, 63, 00, 72, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCLSIDFromString + 9A                                                7C9F557A 104 Bytes  [ 75, 00, 6E, 00, 64, 00, 50, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCLSIDFromString + 104                                               7C9F55E4 60 Bytes  [ 08, 00, 00, 00, 10, 58, 9D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCLSIDFromString + 141                                               7C9F5621 49 Bytes  [ 01, 00, 00, 10, 58, 9D, 7C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCLSIDFromString + 173                                               7C9F5653 24 Bytes  [ 00, 10, 58, 9D, 7C, E0, 56, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindLastID + 2A                                                     7C9F56D5 13 Bytes  [ 00, 00, 01, 10, 58, 9D, 7C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindLastID + 38                                                     7C9F56E3 107 Bytes  [ 02, 10, 58, 9D, 7C, 38, 55, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindLastID + A4                                                     7C9F574F 79 Bytes  [ 40, 10, 58, 9D, 7C, 20, 54, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindLastID + F5                                                     7C9F57A0 109 Bytes  [ 09, 00, 00, 40, 10, 58, 9D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindLastID + 164                                                    7C9F580F 46 Bytes  [ 40, 00, 53, 9D, 7C, B0, 51, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHParseDisplayName + 1B                                               7C9F6872 111 Bytes  [ 90, 90, 90, 90, 90, 8B, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHParseDisplayName + 8B                                               7C9F68E2 2 Bytes  [ 21, 00 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHParseDisplayName + 8F                                               7C9F68E6 19 Bytes  [ 3B, C7, 5F, 0F, 85, FD, 24, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHParseDisplayName + A3                                               7C9F68FA 63 Bytes  [ C0, 75, 03, 8D, 46, 20, 5E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHParseDisplayName + E4                                               7C9F693B 66 Bytes  [ 45, 0C, 5D, C2, 0C, 00, 90, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHILCreateFromPath + 6C                                               7C9F6E93 31 Bytes  [ C5, BC, 7C, 89, 45, FC, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHILCreateFromPath + 8C                                               7C9F6EB3 27 Bytes  CALL 7C9F6E58 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHILCreateFromPath + A8                                               7C9F6ECF 46 Bytes  [ 00, 00, 8B, D8, 8B, 4D, FC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHILCreateFromPath + D8                                               7C9F6EFF 32 Bytes  [ 8B, 45, 14, 53, 8B, 5D, 08, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHILCreateFromPath + F9                                               7C9F6F20 69 Bytes  [ 00, 8D, BD, E4, FB, FF, FF, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCreateFromPath                                                      7C9F6FBF 74 Bytes  [ 90, 90, 90, 90, 8B, FF, 55, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCreateFromPath + 4B                                                 7C9F700A 87 Bytes  [ 45, 0C, 57, 8B, F1, 50, 8D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCreateFromPath + A3                                                 7C9F7062 101 Bytes  [ 33, C0, 8B, 4D, FC, 5F, 5E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCreateFromPath + 109                                                7C9F70C8 49 Bytes  [ 50, 56, 89, 85, D8, FD, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILCreateFromPath + 13B                                                7C9F70FA 25 Bytes  CALL 7C9F6FC3 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfoW + 12                                                   7C9F78BF 138 Bytes  [ 7D, 14, 8B, F0, 89, 7D, 0C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfoW + 9D                                                   7C9F794A 2 Bytes  [ 5D, 14 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfoW + A0                                                   7C9F794D 58 Bytes  [ 45, E4, 8B, 45, 18, 56, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfoW + DC                                                   7C9F7989 18 Bytes  [ FF, 75, D8, 8B, 46, 18, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfoW + EF                                                   7C9F799C 5 Bytes  [ 57, 0C, 8B, F8, 85 ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHFree + 16                                                           7C9F7AA0 12 Bytes  [ 75, C0, 50, FF, 51, 0C, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHFree + 23                                                           7C9F7AAD 54 Bytes  [ 75, C4, 8D, 45, D0, FF, 75, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHFree + 5A                                                           7C9F7AE4 67 Bytes  [ 8B, FF, 55, 8B, EC, 83, EC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHFree + 9E                                                           7C9F7B28 177 Bytes  [ 50, 8D, 45, F4, 50, 53, 8D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHFree + 150                                                          7C9F7BDA 12 Bytes  [ 75, 20, FF, 75, 08, FF, 75, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderPathW + 10                                          7C9F7F1E 89 Bytes  [ 64, 00, 69, 00, 6E, 00, 67, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderPathW + 6A                                          7C9F7F78 4 Bytes  [ 66, C7, 03, 19 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderPathW + 6F                                          7C9F7F7D 25 Bytes  [ C6, 43, 02, 2F, 75, 14, 8D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderPathW + 89                                          7C9F7F97 31 Bytes  [ 33, FF, 8B, 4D, FC, 8B, C7, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderPathW + AB                                          7C9F7FB9 15 Bytes  [ C3, 90, 90, 90, 90, 90, 8B, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderPathW + E                                                  7C9F869C 5 Bytes  [ FF, 75, 08, E8, 59 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderPathW + 14                                                 7C9F86A2 100 Bytes  [ 00, 00, 85, C0, 75, 41, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderPathW + 79                                                 7C9F8707 10 Bytes  [ 00, A1, 08, C5, BC, 7C, 83, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderPathW + 85                                                 7C9F8713 6 Bytes  [ 00, 56, 89, 45, FC, 8B ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderPathW + 8C                                                 7C9F871A 23 Bytes  [ 08, 57, 50, 8B, F9, E8, 17, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderLocation + 28                                              7C9F9829 35 Bytes  [ 83, BD, EC, FD, FF, FF, 02, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderLocation + 4C                                              7C9F984D 43 Bytes  [ 00, 33, DB, 66, 39, 1E, 0F, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFolderLocation + 79                                              7C9F987A 84 Bytes  CALL 7C9F091D D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderLocation + 4C                                       7C9F98CF 13 Bytes  [ 85, FC, FD, FF, FF, 50, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderLocation + 5A                                       7C9F98DD 4 Bytes  [ B5, EC, FD, FF ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderLocation + 5F                                       7C9F98E2 1 Byte  [ 8D ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderLocation + 61                                       7C9F98E4 5 Bytes  [ FC, FD, FF, FF, 50 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetSpecialFolderLocation + 67                                       7C9F98EA 11 Bytes  [ 15, 7C, 20, 9D, 7C, 83, BD, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsEqual + 11                                                        7C9F9A7D 5 Bytes  [ 0C, 8D, 8D, DC, FD ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsEqual + 17                                                        7C9F9A83 40 Bytes  CALL 7C9F9A85 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsEqual + 40                                                        7C9F9AAC 25 Bytes  [ 5F, 5E, 5B, 74, 0C, FF, B5, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsEqual + 5A                                                        7C9F9AC6 8 Bytes  CALL 7C9F0920 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsEqual + 63                                                        7C9F9ACF 4 Bytes  [ 90, 90, 90, 90 ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetPathFromIDListW + 15                                             7C9F9D91 6 Bytes  [ C5, BC, 7C, 89, 45, FC ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetPathFromIDListW + 1C                                             7C9F9D98 44 Bytes  [ 45, 08, 50, 6A, 07, 8D, 45, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetPathFromIDListW + 49                                             7C9F9DC5 44 Bytes  [ 85, C0, 0F, 85, 19, B1, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetPathFromIDListW + 76                                             7C9F9DF2 31 Bytes  CALL 7C9F9A1E D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetPathFromIDListW + 96                                             7C9F9E12 29 Bytes  [ C0, 0F, 84, 7C, 6E, 02, 00, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!RealDriveType + 1E                                                    7C9F9E9C 23 Bytes  [ 34, 50, FF, 76, 14, E8, 63, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DriveType                                                             7C9F9EB6 24 Bytes  [ 90, 90, 8B, FF, 55, 8B, EC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DriveType + 19                                                        7C9F9ECF 18 Bytes  [ 76, 04, FF, 75, 0C, 53, E8, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DriveType + 2C                                                        7C9F9EE2 69 Bytes  [ 74, 2C, 6A, 00, 8D, 45, 0C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DriveType + 72                                                        7C9F9F28 10 Bytes  [ FF, 55, 8B, EC, 8B, 45, 0C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DriveType + 7D                                                        7C9F9F33 29 Bytes  [ 7F, 0F, 87, CF, 5D, 06, 00, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsNetDrive + B                                                        7C9FA04A 151 Bytes  [ 90, 90, 90, 90, 90, 8B, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsNetDrive + A4                                                       7C9FA0E3 3 Bytes  [ 8B, FF, 55 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsNetDrive + A8                                                       7C9FA0E7 122 Bytes  [ EC, 51, 83, 65, FC, 00, 53, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsNetDrive + 123                                                      7C9FA162 24 Bytes  [ C7, 5F, 5E, C9, C3, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsNetDrive + 13C                                                      7C9FA17B 1 Byte  [ 00 ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetClassObject + 3C                                                7C9FADA4 91 Bytes  [ C5, BC, 7C, 56, 8B, 75, 0C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetClassObject + 98                                                7C9FAE00 16 Bytes  [ B5, E0, FD, FF, FF, E8, 64, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetClassObject + A9                                                7C9FAE11 55 Bytes  [ 85, E0, FD, FF, FF, 8D, 95, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetClassObject + E1                                                7C9FAE49 56 Bytes  [ 8B, 85, E0, FD, FF, FF, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetClassObject + 11A                                               7C9FAE82 3 Bytes  [ EC, 83, EC ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCoCreateInstance + 2                                                7C9FAFF2 11 Bytes  CALL 7C9FB4F4 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCoCreateInstance + F                                                7C9FAFFF 37 Bytes  [ FC, 66, F7, D8, 5F, 5E, 5B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCoCreateInstance + 37                                               7C9FB027 19 Bytes  CALL 7C9F3A80 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCoCreateInstance + 4B                                               7C9FB03B 5 Bytes  [ 90, 90, 90, 90, 8B ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCoCreateInstance + 51                                               7C9FB041 30 Bytes  [ 55, 8B, EC, 81, EC, 14, 02, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetImageLists + 5E                                              7C9FB158 32 Bytes  [ C9, C2, 10, 00, 90, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetImageLists + 80                                              7C9FB17A 49 Bytes  [ 00, 53, 8B, 5D, 18, 56, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHBindToParent + 27                                                   7C9FB1AC 45 Bytes  [ 00, 8D, 85, F4, F5, FF, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHBindToParent + 55                                                   7C9FB1DA 107 Bytes  [ FF, C9, C2, 18, 00, 33, C0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHBindToParent + C1                                                   7C9FB246 67 Bytes  [ C4, FF, FF, 8D, 85, E4, FD, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHBindToParent + 105                                                  7C9FB28A 29 Bytes  [ 8B, 55, 10, A1, 08, C5, BC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHBindToParent + 123                                                  7C9FB2A8 106 Bytes  [ 08, 51, 33, FF, 50, 57, 89, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHSimpleIDListFromPath                                                7C9FB4F4 3 Bytes  [ 90, 90, 90 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHSimpleIDListFromPath + 4                                            7C9FB4F8 47 Bytes  [ FF, 55, 8B, EC, 56, 8B, 75, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHSimpleIDListFromPath + 34                                           7C9FB528 10 Bytes  [ C6, 5E, 5D, C2, 08, 00, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHSimpleIDListFromPath + 3F                                           7C9FB533 62 Bytes  [ 8B, FF, 55, 8B, EC, 81, EC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsSlowW + 25                                                      7C9FB572 29 Bytes  [ FF, C9, C2, 08, 00, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsSlowW + 43                                                      7C9FB590 30 Bytes  [ 8B, F1, 47, 83, BE, A4, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsSlowW + 62                                                      7C9FB5AF 107 Bytes  [ FF, 8D, 85, EC, FD, FF, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsSlowW + CE                                                      7C9FB61B 170 Bytes  [ 55, 8B, EC, 56, 8B, 75, 08, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsSlowW + 179                                                     7C9FB6C6 20 Bytes  [ C7, 06, 80, 7A, 9D, 7C, 74, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILIsParent + A2                                                       7C9FB7B9 116 Bytes  [ 4D, 10, 56, 8B, 75, 0C, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindChild + 57                                                      7C9FB82E 5 Bytes  [ C6, 5E, 5D, C2, 0C ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindChild + 5D                                                      7C9FB834 8 Bytes  [ 90, 90, 90, 90, 90, 8B, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindChild + 66                                                      7C9FB83D 10 Bytes  [ EC, 56, 57, 68, 98, 04, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindChild + 71                                                      7C9FB848 12 Bytes  [ FF, FF, 85, C0, 59, 74, 44, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILFindChild + 7E                                                      7C9FB855 7 Bytes  [ 75, 0C, FF, 75, 08, E8, 8F ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyRegister + 13                                           7C9FE90C 38 Bytes  [ 83, 7B, 34, 00, 74, 0C, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyRegister + 3A                                           7C9FE933 54 Bytes  [ 80, 74, 17, 5F, 5E, 5B, 5D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyRegister + 71                                           7C9FE96A 13 Bytes  [ 07, 33, C0, 5E, 5D, C2, 08, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyRegister + 7F                                           7C9FE978 83 Bytes  CALL 7C9F4659 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyRegister + D3                                           7C9FE9CC 42 Bytes  [ 4B, FF, FF, 85, C0, 59, 74, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_MergeMenus + 4                                                  7C9FF77B 5 Bytes  [ 75, 08, 83, 7E, 08 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_MergeMenus + A                                                  7C9FF781 49 Bytes  [ 74, 1B, 8D, 45, 14, 50, 6A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_MergeMenus + 3C                                                 7C9FF7B3 1 Byte  [ F4 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_MergeMenus + 40                                                 7C9FF7B7 1 Byte  [ 50 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_MergeMenus + 42                                                 7C9FF7B9 2 Bytes  [ 76, BD ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCreateShellFolderView + 11                                          7CA0067F 37 Bytes  CALL 7C9FCD0D D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCreateShellFolderView + 37                                          7CA006A5 302 Bytes  [ A8, 20, 0F, 85, 84, 53, 05, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCreateShellFolderView + 167                                         7CA007D5 41 Bytes  [ B8, 05, 40, 00, 80, 74, 30, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCreateShellFolderView + 191                                         7CA007FF 5 Bytes  [ 75, 10, FF, 75, 0C ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCreateShellFolderView + 198                                         7CA00806 54 Bytes  [ 08, 50, FF, 51, 1C, 5B, 5E, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetCachedImageIndex + 23                                        7CA06AFA 24 Bytes  [ C9, C2, 10, 00, 90, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetCachedImageIndex + 3C                                        7CA06B13 31 Bytes  [ 06, 8B, D9, 57, 8D, 7B, 7C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetCachedImageIndex + 5C                                        7CA06B33 130 Bytes  [ 55, 8B, EC, 81, EC, 28, 01, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetCachedImageIndex + DF                                        7CA06BB6 1 Byte  [ 61 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Shell_GetCachedImageIndex + E1                                        7CA06BB8 1 Byte  [ 6E ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapIDListToImageListIndexAsync + B1                                 7CA07377 18 Bytes  [ 55, 8B, EC, 8B, 45, 08, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapIDListToImageListIndexAsync + C6                                 7CA0738C 5 Bytes  [ 8B, FF, 55, 8B, EC ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapIDListToImageListIndexAsync + CC                                 7CA07392 49 Bytes  [ 45, 08, 56, 57, 8B, 7D, 10, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapIDListToImageListIndexAsync + FE                                 7CA073C4 41 Bytes  CALL 7C9F6B73 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapIDListToImageListIndexAsync + 128                                7CA073EE 61 Bytes  [ C8, 23, 4D, 0C, 3B, C8, 0F, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapPIDLToSystemImageListIndex + B                                   7CA07E84 3 Bytes  [ C2, 5F, 05 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapPIDLToSystemImageListIndex + F                                   7CA07E88 1 Byte  [ 8B ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapPIDLToSystemImageListIndex + 11                                  7CA07E8A 77 Bytes  CALL 061D3B9E 
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapPIDLToSystemImageListIndex + 5F                                  7CA07ED8 65 Bytes  [ 0F, 84, 9A, 45, 05, 00, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHMapPIDLToSystemImageListIndex + A1                                  7CA07F1A 48 Bytes  [ FF, 55, 8B, EC, 8D, 81, 64, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHDefExtractIconW + 2                                                 7CA0997A 29 Bytes  JMP 7CA098F4 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHDefExtractIconW + 20                                                7CA09998 25 Bytes  [ 55, 8B, EC, 83, EC, 40, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHDefExtractIconW + 3A                                                7CA099B2 30 Bytes  [ 84, AE, 1B, 00, 00, 56, 57, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHDefExtractIconW + 59                                                7CA099D1 108 Bytes  [ 1E, 05, 00, 8D, 45, 0C, 50, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHExtractIconsW + 15                                                  7CA09A3E 10 Bytes  [ FF, 43, 83, C7, 1C, 3B, 5E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHExtractIconsW + 20                                                  7CA09A49 23 Bytes  [ 76, 38, 68, 02, 00, 00, 80, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHExtractIconsW + 39                                                  7CA09A62 4 Bytes  CALL 7CA09838 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHExtractIconsW + 3E                                                  7CA09A67 53 Bytes  [ FF, 83, 7E, 3C, 00, 5B, 74, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHExtractIconsW + 75                                                  7CA09A9E 3 Bytes  [ 90, 90, 90 ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetVersion + 6                                                     7CA0A619 56 Bytes  [ 08, 50, FF, 51, 08, FF, 75, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetVersion + 3F                                                    7CA0A652 66 Bytes  CALL 7C9F5F71 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetVersion + 82                                                    7CA0A695 19 Bytes  [ 07, 80, EB, E0, 90, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetVersion + 96                                                    7CA0A6A9 30 Bytes  [ 90, 90, 90, 90, 8B, FF, 55, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllGetVersion + B5                                                    7CA0A6C8 45 Bytes  [ FF, 15, 0C, 13, 9D, 7C, 83, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Unlock + 24                                      7CA0A752 23 Bytes  [ 8B, 75, 10, F7, C6, 10, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Unlock + 3C                                      7CA0A76A 90 Bytes  [ 15, 56, 53, FF, B5, EC, FD, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Unlock + 97                                      7CA0A7C5 33 Bytes  [ FF, 89, 85, E4, FD, FF, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Unlock + BA                                      7CA0A7E8 2 Bytes  [ 85, C0 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Unlock + BD                                      7CA0A7EB 3 Bytes  [ 85, D3, 4A ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotify + 1B                                                   7CA0AC42 64 Bytes  [ 90, 90, 90, 90, 90, 90, 84, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotify + 5D                                                   7CA0AC84 41 Bytes  [ D0, 9C, A0, 7C, B4, 9C, A0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotify + 87                                                   7CA0ACAE 4 Bytes  [ 31, 00, 33, 00 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotify + 8C                                                   7CA0ACB3 34 Bytes  [ 00, 66, 00, 70, 00, 69, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotify + AF                                                   7CA0ACD6 7 Bytes  [ 69, 00, 63, 00, 6F, 00, 6E ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILSaveToStream + 9D                                                   7CA0C403 57 Bytes  [ 46, 54, 50, FF, D7, 8B, 8E, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILSaveToStream + D7                                                   7CA0C43D 111 Bytes  [ F1, 6A, 00, FF, 36, FF, 15, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILSaveToStream + 147                                                  7CA0C4AD 42 Bytes  [ 46, 08, 85, C0, 74, 0B, 50, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILSaveToStream + 172                                                  7CA0C4D8 42 Bytes  [ 15, A0, 1C, 9D, 7C, 85, C0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILSaveToStream + 19D                                                  7CA0C503 15 Bytes  [ FF, 90, 90, 90, 90, 90, 83, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCloneSpecialIDList + 2C                                             7CA0D669 19 Bytes  [ 90, 90, 90, 90, 8B, FF, 55, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCloneSpecialIDList + 40                                             7CA0D67D 16 Bytes  [ 00, FF, 75, 08, 8B, F1, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCloneSpecialIDList + 51                                             7CA0D68E 28 Bytes  [ 42, 83, 7E, 54, 00, 75, 0A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCloneSpecialIDList + 6E                                             7CA0D6AB 38 Bytes  [ 51, 18, 8B, F8, 85, FF, 7C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHCloneSpecialIDList + 95                                             7CA0D6D2 75 Bytes  [ C7, 5F, 5E, C9, C2, 04, 00, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsExe + 23                                                        7CA0DB6B 18 Bytes  [ 85, B0, FB, FF, FF, 83, C0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsExe + 36                                                        7CA0DB7E 14 Bytes  [ FF, 85, C0, 0F, 85, 46, E4, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsExe + 45                                                        7CA0DB8D 19 Bytes  CALL 7CA0DBA4 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsExe + 5C                                                        7CA0DBA4 115 Bytes  [ 90, 8B, FF, 55, 8B, EC, 6A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathIsExe + D0                                                        7CA0DC18 17 Bytes  [ 59, 9D, 7C, FF, B5, B4, FB, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsLFNDrive + 23                                                       7CA0DE8C 9 Bytes  [ 85, C0, 74, 1E, 8B, 45, F8, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsLFNDrive + 2E                                                       7CA0DE97 3 Bytes  [ AA, F1, 00 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsLFNDrive + 32                                                       7CA0DE9B 96 Bytes  [ 8D, 48, 04, 6A, 01, E8, F1, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsLFNDrive + 93                                                       7CA0DEFC 48 Bytes  [ 15, 68, 13, 9D, 7C, E9, 04, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!IsLFNDrive + C4                                                       7CA0DF2D 45 Bytes  JMP 7CA053AA D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHAddToRecentDocs + 4B                                                7CA0E774 5 Bytes  [ FF, 8B, CE, E8, 0A ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHAddToRecentDocs + 52                                                7CA0E77B 5 Bytes  [ 00, E9, 52, F6, FF ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHAddToRecentDocs + 58                                                7CA0E781 117 Bytes  [ 90, 90, 90, 90, 90, 8B, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHAddToRecentDocs + CE                                                7CA0E7F7 129 Bytes  [ 75, 10, FF, 75, FC, E8, D6, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHAddToRecentDocs + 150                                               7CA0E879 95 Bytes  [ 59, 33, C0, EB, F1, 8B, 75, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Win32DeleteFile                                                       7CA0EE68 115 Bytes  [ 90, 8B, FF, 55, 8B, EC, 81, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Win32DeleteFile + 74                                                  7CA0EEDC 22 Bytes  [ 4D, FC, 5F, 5E, 5B, E8, 3A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Win32DeleteFile + 8B                                                  7CA0EEF3 83 Bytes  [ EC, 56, 57, 6A, 01, 33, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Win32DeleteFile + E0                                                  7CA0EF48 23 Bytes  [ 00, 8B, F8, F7, C7, 00, 20, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!Win32DeleteFile + F8                                                  7CA0EF60 43 Bytes  [ 90, E4, 00, 00, 00, 85, C0, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathYetAnotherMakeUniqueName + 2                                      7CA0F22E 152 Bytes  [ 7C, 65, 53, FF, 15, 8C, 1A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathYetAnotherMakeUniqueName + 9B                                     7CA0F2C7 10 Bytes  [ 15, A0, 1A, 9D, 7C, 33, C0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathYetAnotherMakeUniqueName + A7                                     7CA0F2D3 76 Bytes  [ 33, C0, EB, F8, 90, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathYetAnotherMakeUniqueName + F6                                     7CA0F322 2 Bytes  [ 5F, 5E ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathYetAnotherMakeUniqueName + FA                                     7CA0F326 1 Byte  [ 15 ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathCleanupSpec + 79                                                  7CA0F488 11 Bytes  [ FF, 15, 00, 13, 9D, 7C, 57, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathCleanupSpec + 85                                                  7CA0F494 66 Bytes  CALL 7CA0F679 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetNewLinkInfoW + 2A                                                7CA0F4D7 11 Bytes  [ B5, DC, FD, FF, FF, 8B, F8, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetNewLinkInfoW + 36                                                7CA0F4E3 4 Bytes  [ 89, 85, E0, FD ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetNewLinkInfoW + 3C                                                7CA0F4E9 1 Byte  [ 8D ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetNewLinkInfoW + 3E                                                7CA0F4EB 2 Bytes  [ F0, FD ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetNewLinkInfoW + 42                                                7CA0F4EF 75 Bytes  [ 50, FF, B5, EC, FD, FF, FF, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrIW + D                                                          7CA0FB18 181 Bytes  [ 75, 08, FF, 15, A0, 1A, 9D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrIW + C3                                                         7CA0FBCE 25 Bytes  [ 53, 8D, 45, FC, 50, FF, 75, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrIW + DD                                                         7CA0FBE8 3 Bytes  [ 46, 1C, 8B ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrIW + E1                                                         7CA0FBEC 26 Bytes  [ 53, FF, 75, FC, FF, 75, 10, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!StrStrIW + FC                                                         7CA0FC07 50 Bytes  CALL 7CA0FC3C D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyDeregister + 16                                         7CA0FCD5 7 Bytes  [ B5, D8, F7, FF, FF, 53, FF ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyDeregister + 1E                                         7CA0FCDD 159 Bytes  [ 18, 85, C0, 0F, 8D, D8, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyDeregister + BE                                         7CA0FD7D 4 Bytes  [ 85, C0, 7C, 2B ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyDeregister + C3                                         7CA0FD82 7 Bytes  [ 55, 10, 8B, 45, FC, 8B, 08 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotifyDeregister + CB                                         7CA0FD8A 37 Bytes  [ E2, 01, F6, DA, 1B, D2, 81, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllCanUnloadNow + 76                                                  7CA1162F 31 Bytes  [ 00, 83, 4D, F8, FF, 8D, 45, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllCanUnloadNow + 97                                                  7CA11650 30 Bytes  [ 00, 89, 7D, F4, 89, 7D, FC, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllCanUnloadNow + B6                                                  7CA1166F 14 Bytes  [ 01, 6A, 01, FF, 50, 14, E9, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllCanUnloadNow + C5                                                  7CA1167E 46 Bytes  [ 90, 8B, FF, 55, 8B, EC, 51, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!DllCanUnloadNow + F4                                                  7CA116AD 31 Bytes  [ 5B, C9, C3, 90, 90, 90, 90, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetMalloc + 2                                                       7CA11FE6 92 Bytes  [ 50, 10, 85, C0, 0F, 8C, 31, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetMalloc + 5F                                                      7CA12043 51 Bytes  JMP 7CA11C85 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetMalloc + 94                                                      7CA12078 5 Bytes  [ 9D, 7C, 2B, F9, C1 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetMalloc + 9A                                                      7CA1207E 27 Bytes  [ 02, 03, F1, 8B, 16, 03, D9, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetMalloc + B6                                                      7CA1209A 49 Bytes  [ 9D, 7C, 85, D2, 89, 45, FC, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfo + B                                                     7CA136EF 1 Byte  [ 8D ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfo + D                                                     7CA136F1 31 Bytes  [ F8, 50, FF, 75, F8, 53, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfo + 2D                                                    7CA13711 56 Bytes  [ 15, 8C, 1A, 9D, 7C, 8D, 74, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfo + 66                                                    7CA1374A 32 Bytes  [ 15, E4, 20, 9D, 7C, 8D, 45, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetFileInfo + 87                                                    7CA1376B 6 Bytes  [ 15, 28, 19, 9D, 7C, 8B ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetImageList + 3E                                                   7CA13AB7 35 Bytes  CALL 7C9F3A80 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetImageList + 62                                                   7CA13ADB 318 Bytes  [ FD, FF, FF, 50, FF, 15, F8, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetImageList + 1A1                                                  7CA13C1A 48 Bytes  [ 88, 98, 02, 00, 00, 89, 4D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetImageList + 1D2                                                  7CA13C4B 62 Bytes  [ 00, 3B, CA, 0F, 85, 54, FA, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetImageList + 211                                                  7CA13C8A 8 Bytes  [ C9, C2, 08, 00, 90, 90, 90, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Lock + 2                                         7CA18B23 24 Bytes  [ 15, F0, 18, 9D, 7C, 85, C0, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Lock + 1B                                        7CA18B3C 44 Bytes  [ EC, FD, FF, FF, 0F, 8C, 7F, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Lock + 48                                        7CA18B69 54 Bytes  [ 57, 68, 7D, 00, 00, 40, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Lock + 7F                                        7CA18BA0 39 Bytes  [ F6, 87, 59, 06, 00, 00, 02, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHChangeNotification_Lock + A7                                        7CA18BC8 116 Bytes  [ F0, 3B, F3, 0F, 8C, 8D, 00, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILLoadFromStream + 1F                                                 7CA19F90 103 Bytes  CALL 7CA0068E D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILLoadFromStream + 87                                                 7CA19FF8 9 Bytes  [ 0F, 84, 28, BC, 03, 00, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILLoadFromStream + 91                                                 7CA1A002 52 Bytes  CALL 7C9FFFB8 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILLoadFromStream + C6                                                 7CA1A037 75 Bytes  [ 00, 8B, 4E, 14, 6A, 02, 68, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!ILLoadFromStream + 112                                                7CA1A083 23 Bytes  [ 80, 8E, 11, 02, 00, 00, 04, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDataFromIDListW + 25                                             7CA1A324 42 Bytes  CALL 7C9F968E D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDataFromIDListW + 50                                             7CA1A34F 59 Bytes  [ 85, F4, FD, FF, FF, 50, 8D, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDataFromIDListW + 8D                                             7CA1A38C 27 Bytes  [ 01, E4, FD, FF, 50, 68, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDataFromIDListW + A9                                             7CA1A3A8 25 Bytes  [ FF, FF, 90, 90, 90, 90, 90, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetDataFromIDListW + C3                                             7CA1A3C2 8 Bytes  [ 18, 83, 7D, 0C, 00, 8D, 04, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetRealIDL + 96                                                     7CA1B0BB 37 Bytes  [ 00, 89, 85, F0, FD, FF, FF, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetRealIDL + BC                                                     7CA1B0E1 43 Bytes  [ 56, 8B, 75, 14, 83, 26, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetRealIDL + E8                                                     7CA1B10D 40 Bytes  [ 75, 10, 8D, 55, 08, 52, 6A, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetRealIDL + 111                                                    7CA1B136 11 Bytes  JMP 7CA0C4E5 D:\WINDOWS\system32\SHELL32.dll (DLL commune du shell Windows/Microsoft Corporation)
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!SHGetRealIDL + 11D                                                    7CA1B142 23 Bytes  [ 55, 8B, EC, 51, 53, 8B, 5D, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!CommandLineToArgvW + 59                                               7CA1C1C4 10 Bytes  [ CE, FF, 50, 14, 8B, C7, 5F, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!CommandLineToArgvW + 64                                               7CA1C1CF 9 Bytes  [ 00, 90, 90, 90, 90, 90, 8B, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!CommandLineToArgvW + 6E                                               7CA1C1D9 8 Bytes  [ EC, 56, 8B, F1, E8, 19, 00, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!CommandLineToArgvW + 77                                               7CA1C1E2 19 Bytes  [ F6, 45, 08, 01, 74, 07, 56, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!CommandLineToArgvW + 8B                                               7CA1C1F6 34 Bytes  [ 90, 90, 90, 90, 90, 8B, FF, ... ]
.text  ...                                                                                                                    
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathResolve + 5D                                                      7CA1D37A 9 Bytes  [ FF, 15, 1C, 18, 9D, 7C, 85, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathResolve + 67                                                      7CA1D384 6 Bytes  [ D8, 0F, 84, 29, 01, 00 ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!PathResolve + 6E                                                      7CA1D38B 277 Bytes  [ 8B, 08, 8D, 55, EC, 52, 50, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[368] SHELL32.dll!FindExecutableW + 2                                                   7CA1D4A1 37 Bytes  [ 75, 0C, 68, B4, E0, 9D, 7C, ... ]
.text  D:\WINDOWS\system32\wuauclt.exe[

Lyonnais92 · Answer

Re,

je pense que le rapport n'est pas complet.

zedjiga · Answer

si vous le dites c 'est ok . alors c'est a refaire . je vous dit bonne nuit et a demain inchallah. et merci encore .

Lyonnais92 · Answer

Re,

si tu as fait exactement ce que j'ai dit, tu as sur ton Bureau un fichier appelé 130209.txt.

Ouvre le et copie tout son contenu ici.

Mais on fera ça au jour.

Je vais quitter bientôt.

zedjiga · Answer

Bonjour , 
 ya rien qui s'affiche sur le bureau .
je ne trouve pas   130209.txt" 

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-14 10:07:35
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

?      D:\WINDOWS\system32\drivers\qnmlmi.sys                                                                  Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.14 ----

.text  D:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE[492] kernel32.dll!OpenProcess       7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE[492] psapi.dll!EnumProcessModules   76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\system32\svchost.exe[600] kernel32.dll!OpenProcess                                           7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\system32\services.exe[688] kernel32.dll!OpenProcess                                          7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\system32\svchost.exe[860] kernel32.dll!OpenProcess                                           7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\system32\svchost.exe[928] kernel32.dll!OpenProcess                                           7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\System32\svchost.exe[1028] kernel32.dll!OpenProcess                                          7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  ...                                                                                                     
.text  D:\WINDOWS\system32\WgaTray.exe[1684] psapi.dll!EnumProcessModules                                      76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  D:\WINDOWS\Explorer.EXE[1744] kernel32.dll!OpenProcess                                                  7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!LoadResource                              7C80A065 7 Bytes  JMP 28001E20 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!FindResourceExW                           7C80AB10 4 Bytes  JMP 28001C60 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!FindResourceExW + 5                       7C80AB15 2 Bytes  [ CC, CC ]
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!FindResourceW                             7C80BA56 7 Bytes  JMP 28001BE0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!SizeofResource                            7C80BAF1 7 Bytes  JMP 28001EE0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!LockResource                              7C80C6CF 5 Bytes  JMP 28001F50 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!FindResourceA                             7C80C7B1 7 Bytes  JMP 28001CF0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!SetUnhandledExceptionFilter               7C810386 5 Bytes  JMP 004DE392 D:\Program Files\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!OpenProcess                               7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!CreateEventA                              7C81E4BD 5 Bytes  JMP 28001840 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!FindResourceExA                           7C822C2D 7 Bytes  JMP 28001D80 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] kernel32.dll!OutputDebugStringW                        7C85A215 5 Bytes  JMP 28001FB0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] ADVAPI32.dll!CryptDeriveKey                            77DBA685 7 Bytes  JMP 28001000 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] ADVAPI32.dll!CryptDecrypt                              77DBA7B1 2 Bytes  JMP 28001060 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] ADVAPI32.dll!CryptDecrypt + 3                          77DBA7B4 4 Bytes  [ 24, B0, CC, CC ]
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!PeekMessageW                                77D19278 5 Bytes  JMP 280045E0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!CreateWindowExW                             77D21AD5 5 Bytes  JMP 28003CA0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!SetWindowRgn                                77D21DE0 7 Bytes  JMP 28005F00 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!LoadIconW                                   77D22174 5 Bytes  JMP 28006880 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!LoadImageW                                  77D242A4 5 Bytes  JMP 28006690 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!CreateDialogParamW                          77D3629F 5 Bytes  JMP 28006040 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!SetWindowPlacement                          77D3FBEA 5 Bytes  JMP 28005DC0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!MessageBoxIndirectW                         77D660B7 5 Bytes  JMP 28006230 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] USER32.dll!TrackPopupMenuEx                            77D6CAFE 5 Bytes  JMP 28004EC0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WS2_32.dll!send                                        719F428A 5 Bytes  JMP 2800B800 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WS2_32.dll!WSARecv                                     719F4318 5 Bytes  JMP 2800B5E0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WS2_32.dll!recv                                        719F615A 5 Bytes  JMP 2800B440 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WS2_32.dll!WSASend                                     719F6233 5 Bytes  JMP 2800B9E0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WS2_32.dll!closesocket                                 719F9639 5 Bytes  JMP 2800BC20 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] SHELL32.dll!Shell_NotifyIconW                          7CA47CE1 5 Bytes  JMP 28003400 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] ole32.dll!CoInitializeEx                               774BEF5B 5 Bytes  JMP 28002260 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] ole32.dll!CoRegisterClassObject                        774C7FF0 5 Bytes  JMP 28002360 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WININET.dll!InternetCloseHandle                        4408DA59 5 Bytes  JMP 2800A600 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WININET.dll!HttpOpenRequestA                           44094341 5 Bytes  JMP 2800A2C0 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WININET.dll!InternetReadFile                           4409ABB4 5 Bytes  JMP 2800A450 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\MSN Messenger\MsnMsgr.Exe[1892] WININET.dll!HttpSendRequestA                           4409CD40 5 Bytes  JMP 2800A530 C:\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text  D:\Program Files\Skype\Phone\Skype.exe[1900] kernel32.dll!OpenProcess                                   7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  E:\WZQKPICK.EXE[1972] kernel32.dll!OpenProcess                                                          7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  E:\WZQKPICK.EXE[1972] psapi.dll!EnumProcessModules                                                      76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\winbjtgk.exe[2008] kernel32.dll!OpenProcess                          7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\winbjtgk.exe[2008] psapi.dll!EnumProcessModules                      76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\bmhybj.exe[2032] kernel32.dll!OpenProcess                            7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\bmhybj.exe[2032] psapi.dll!EnumProcessModules                        76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!DialogBoxParamW                        77D26702 5 Bytes  JMP 4437F341 D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!DialogBoxParamA                        77D288E1 5 Bytes  JMP 44511844 D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!DialogBoxIndirectParamW                77D32598 5 Bytes  JMP 4451187F D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!MessageBoxIndirectA                    77D3AEF1 5 Bytes  JMP 44511800 D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!MessageBoxExW                          77D50559 5 Bytes  JMP 4451178C D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!MessageBoxExA                          77D5057D 5 Bytes  JMP 445117C6 D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!DialogBoxIndirectParamA                77D56CED 5 Bytes  JMP 445118BA D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] USER32.dll!MessageBoxIndirectW                    77D660B7 5 Bytes  JMP 443A16F6 D:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  d:\program files\internet explorer\iexplore.exe[3588] psapi.dll!EnumProcessModules                      76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.data  D:\WINDOWS\system32\com\smss.exe[3636] D:\WINDOWS\system32\com\smss.exe                                 unknown last section [0x00409000, 0x2CD8, 0xC0000040]
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\winfyau.exe[4072] kernel32.dll!OpenProcess                           7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\DOCUME~1\GHANOU~1\LOCALS~1\Temp\winfyau.exe[4072] psapi.dll!EnumProcessModules                       76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll
.text  D:\Documents and Settings\ghanou chaouch\Bureau\bypass.exe\gmer.exe[8660] kernel32.dll!OpenProcess      7C81E079 5 Bytes  JMP 10001480 D:\WINDOWS\system32\dnsq.dll
.text  D:\Documents and Settings\ghanou chaouch\Bureau\bypass.exe\gmer.exe[8660] psapi.dll!EnumProcessModules  76BA1F1C 5 Bytes  JMP 10001660 D:\WINDOWS\system32\dnsq.dll

---- Disk sectors - GMER 1.0.14 ----

Disk   \Device\Harddisk0\DR0                                                                                   sector 01: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 02: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 03: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 04: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 05: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 06: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 07: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 08: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 09: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 10: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 11: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 12: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 13: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 14: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 15: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 16: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 17: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 18: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 19: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 20: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 21: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 22: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 23: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 24: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 25: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 26: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 27: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 28: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 29: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 30: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 31: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 32: rootkit-like behavior; copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 33: rootkit-like behavior; copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 34: rootkit-like behavior; copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 35: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 36: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 37: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 38: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 39: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 40: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 41: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 42: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 43: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 44: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 45: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 46: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 47: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 48: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 49: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 50: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 51: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 52: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 53: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 54: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 55: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 56: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 57: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 58: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 59: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 60: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 61: copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 62: rootkit-like behavior; copy of MBR
Disk   \Device\Harddisk0\DR0                                                                                   sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----

Lyonnais92 · Answer

Bonjour,

c'est très bien, le rapport est complet.

Fais ça :

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log

Copie le dans ta réponse.

zedjiga · Answer

Bonjour 


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Internet

79 réponses

Votre réponse

Discussions similaires

Newsletters