[XP] Problème DriveCleaner, Winantivirus pro. Fermé

Question

Bonjour,
je suis infesté depuis quelques jours par des popup et des pseudos scans DriveCleaner et anti machins en tous genres. J'ai essayé beaucoup de choses qui n'ont rien donné. Voici un log Hijackthis, merci de m'aider SVP.

Logfile of HijackThis v1.99.1
Scan saved at 22:13:40, on 18/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\RAMpage\RAMpage.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {69F90999-D1EB-46F9-9531-C7402B1F0869} - C:\WINDOWS\system32\vtuts.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32	iwjtanb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RAMpage] "C:\Program Files\RAMpage\RAMpage.exe" M=28 T=4 P="C:\Program Files\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\vnegcbmw.dll",forkonce
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiSpyware2006FreeInstall_fr.cab
O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://fr.winantivirus.com/download/2006/download.php?file=2&aid=nm_ba_wav_kw3_fr_fr_mtrt&lid=ad+ware&affid=nm_862_71ee1e2e2e3d11dc8998fff862ffffff_244c3e116b8e4fcf86b0d9354bbd0ce8
O20 - Winlogon Notify: vtuts - C:\WINDOWS\system32\vtuts.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

raleuboleu · Answer

bonjour, * Télécharge Blacklight https://europe.f-secure.com/exclude/blacklight/index.shtml (de F-Secure) (le premier de la page) Enregistre le sur ton Bureau. Double-clique fsbl.exe Clique sur "I ACCEPT" . clique Scan puis Next<*gras> Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe reposte 1 hijack ensuite stp bizoux

Tinihau · Answer

Salut et merci de ton aide
Voici le rapport

07/18/07 22:40:22 [Info]: BlackLight Engine 1.0.64 initialized
07/18/07 22:40:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/18/07 22:40:22 [Note]: 7019 4
07/18/07 22:40:22 [Note]: 7005 0
07/18/07 22:40:45 [Note]: 7006 0
07/18/07 22:40:45 [Note]: 7011 216
07/18/07 22:40:45 [Note]: 7026 0
07/18/07 22:40:45 [Note]: 7026 0
07/18/07 22:40:48 [Note]: FSRAW library version 1.7.1022
07/18/07 22:44:57 [Error]: 6023 3
07/18/07 22:45:51 [Note]: 7007 0

raleuboleu · Answer

re, de rien^^

lance ceci et post 1 rapport hijack apres stp

     Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Clique sur navilog1.zip pour télécharger navilog1.exe.

    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 





bizoux

Tinihau · Answer

Voici qui est fait

Search Navipromo version 2.0.5 commencé le 18/07/2007 à 22:55:57,57
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/18/07 at 22:56:01.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...
[+] Scan complete.
[-] ERROR: Errors occurred during scan. See the log file for details.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/18/07 at 22:56:02 (return code = 3).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\stutv.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\klkkj.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\stutv.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\klkkj.bak2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\stutv.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 18/07/2007 à 22:56:26,31 ***

raleuboleu · Answer

re

vundo vundo!!!!!!!!!!!!!!!!!!!!!

lance ceci stp :


    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau. 


dis ce qu'il en est please

Tinihau · Answer

Je le fais de ce pas
C'est quand même curieux, j'ai déjà fait un scan vundo et il n'y avait rien

raleuboleu · Answer

re

j'avoue !!!!!

ou lance virtumonde ici


Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu




bizoux

Tinihau · Answer

Ok, scan terminé, remove vundo clické, PC redémarré.
Tu veux un rapport Hijack maintenant ?

raleuboleu · Answer

si tu peux sinan demain no souci

kiss

Tinihau · Answer

Rapport VBG


[07/18/2007, 23:17:20] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Compaq_Propriétaire\Bureau\VirtumundoBeGone.exe" )
[07/18/2007, 23:17:44] - Detected System Information:
[07/18/2007, 23:17:44] -  Windows Version: 5.1.2600, Service Pack 2
[07/18/2007, 23:17:44] -  Current Username: Compaq_Propriétaire (Admin)
[07/18/2007, 23:17:44] -  Windows is in NORMAL mode.
[07/18/2007, 23:17:44] - Searching for Browser Helper Objects:
[07/18/2007, 23:17:44] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/18/2007, 23:17:44] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[07/18/2007, 23:17:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/18/2007, 23:17:44] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[07/18/2007, 23:17:44] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[07/18/2007, 23:17:44] -  BHO 3: {69F90999-D1EB-46F9-9531-C7402B1F0869} ()
[07/18/2007, 23:17:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/18/2007, 23:17:44] -  Checking for HKLM\...\Winlogon\Notify\vtuts
[07/18/2007, 23:17:44] -  Key not found: HKLM\...\Winlogon\Notify\vtuts, continuing.
[07/18/2007, 23:17:44] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/18/2007, 23:17:44] -  BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/18/2007, 23:17:44] -  BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/18/2007, 23:17:44] -  BHO 7: {C451C08A-EC37-45DF-AAAD-18B51AB5E837} (PDFCreator Toolbar Helper)
[07/18/2007, 23:17:44] - Finished Searching Browser Helper Objects
[07/18/2007, 23:17:44] - Finishing up...
[07/18/2007, 23:17:44] - Nothing found! Exiting...


Rapport Hijack

Logfile of HijackThis v1.99.1
Scan saved at 23:22:04, on 18/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\RAMpage\RAMpage.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {69F90999-D1EB-46F9-9531-C7402B1F0869} - C:\WINDOWS\system32\vtuts.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RAMpage] "C:\Program Files\RAMpage\RAMpage.exe" M=28 T=4 P="C:\Program Files\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiSpyware2006FreeInstall_fr.cab
O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://fr.winantivirus.com/download/2006/download.php?file=2&aid=nm_ba_wav_kw3_fr_fr_mtrt&lid=ad+ware&affid=nm_862_71ee1e2e2e3d11dc8998fff862ffffff_244c3e116b8e4fcf86b0d9354bbd0ce8
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Tinihau · Answer

Est-ce clean ?

raleuboleu · Answer

salut

t'as cloturé le topic , tout vas bien? vraiment?

bizoux

Tinihau · Answer

Oui, apparament plus de problème.
Tu as jeté un oeil à mes derniers logs ?
Qu'en dis tu ?

raleuboleu · Answer

euh pas zencore j'avoueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

Lyonnais92 · Answer

Bonsoir,

Blacklight n'a rien montré, navilog non plus (sauf du vundo qu'il ne supprimme pas), vundofix n'aurait rien décelé, virtumundobegone n'a rien vu.

mais les pop-up drive cleaners et autres ne sont plus là !!!

Miracle. Sauf que j'y crois pas.

Soit tu as fait des choses que tu n'as pas dites, soit les pubs reviendront.

Relance navilog choix 1 que l'on voit ce qu'il en est des fichiers vundo.
@+

afideg · Answer

Salut Lyonnais, raleuboleu et Tinihau

Ouf!
Merci Lyonnais,
Je pense que raleuboleu mérite une leçon de sérieux!

1°- Aucun pare-feu actif n'a été trouvé !

2°- À faire fixer:
O2 - BHO: (no name) - {69F90999-D1EB-46F9-9531-C7402B1F0869} - C:\WINDOWS\system32\vtuts.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/
O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://fr.winantivirus.com/

3°- Java\jre1.5.0_10  à mettre à jour ==> version 6 upgrade 2 !



Désolé
Bonne nuit
Al.

raleuboleu · Answer

bon ben bonsoir et bonne continuation 

biz

raleuboleu · Answer

re

meme si je resouds certains soucis dites si ma place n'est pas ici ca ira aussi vite et fera moins de peine bref bonne nuit jme c........


bonne nuit a tous tout de meme

bizoux

afideg · Answer

Bonjour Tinihau, On va essayer de régler ce souci. Fais ceci dans l'ordre SVP 1°-Télécharge ComboFix.exe (par sUBs) sur ton Bureau: < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > 2°. Redémarre en Mode sans échec ( tuto : < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 > ) 3°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes: -O2 - BHO: (no name) - {69F90999-D1EB-46F9-9531-C7402B1F0869} - C:\WINDOWS\system32\vtuts.dll (file missing) -O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll -O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll -O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com -O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ -O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/ -O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://fr.winantivirus.com/ Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked], réponds OUI au message qui s'affiche. 4°- Redémarre normalement le PC 5°- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. 6°- Tu copies et colles ce rapport sur le forum 7°- Ta console Java n'est pas à jour ! Pour corriger cela, vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière Version 6 Update 2. Après installation et redémarrage, vas dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 8°- Aucun pare-feu actif n'a été trouvé ! Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe > ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html > •- Ensuite lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). - ensuite installer ce pare-feu une fois téléchargé , - et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé - si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) •- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. Arrête, puis Redémarre le PC Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php - Tuto - https://forums.cnetfrance.fr Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php > 9°- Fais cette analyse SVP : Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc : - Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier chercher va être créé DiagHelp - Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) http://img149.imageshack.us/img149/4927/screenshot173gl8.gif > Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. ATTENTION : Pendant l'analyse, à la fin du rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas ! - A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : -- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php 10°- Poste le rapport d'une nouvelle analyse HijackThis SVP. Dis-nous comment se comporte le PC. Merci pour ta collaboration et ta patience Al.

Tinihau · Answer

Houlà !!!
Il semble qu'il s'en soit passé en mon absence !
Et dire que je croyais mon problème résolu.
Je n'ai effectivement plus de problème de scans et autres popups mais bon, je continue alors.
Désolé raleuboleu ;-)

Tinihau · Answer

Heu, excuses mais Bonjour Afideg et merci de ton coup de main ! Alors voici le rapport Combo "Compaq_Propri‚taire" - 2007-07-20 14:02:07 - ComboFix 07-07-14.6 - Service Pack 2 NTFS ((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 ))))))))))))))))))))))))))))))) 2007-07-20 14:01 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-18 23:07 d-------- C:\VundoFix Backups 2007-07-18 22:55 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-07-18 22:54 d-------- C:\Program Files\Navilog1 2007-07-17 16:32 d-------- C:\Program Files\a-squared Free 2007-07-17 16:28 d-------- C:\Program Files\CCleaner 2007-07-17 16:18 d-------- C:\Program Files\Lavasoft 2007-07-17 16:18 d-------- C:\DOCUME~1\COMPAQ~1\APPLIC~1\Lavasoft 2007-07-17 15:57 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy 2007-07-17 15:56 d-------- C:\Program Files\MRU-Blaster 2007-07-10 22:22 d-------- C:\Program Files\QuickTime 2007-07-04 15:06 d-------- C:\Program Files\Fichiers communs\AVSMedia 2007-06-22 10:16 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-06-22 09:37 786,432 --ah----- C:\DOCUME~1\ADMINI~1 tuser.dat 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\WINDOWS 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Voisinage d'impression 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\ModŠles 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Mes documents 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Favoris 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\Bureau 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec 2007-06-22 09:37 d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Real 2007-06-21 21:10 d-------- C:\WINDOWS\system32\Kaspersky Lab (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-20 11:56:17 -------- d-----w C:\Program Files\Hijackthis Version Française 2007-07-05 07:09:46 -------- d-----w C:\Program Files\eMule 2007-06-30 11:19:04 -------- d-----w C:\DOCUME~1\COMPAQ~1\APPLIC~1\Azureus 2007-06-28 11:43:21 -------- d-----w C:\Program Files\Soulseek 2007-06-22 08:01:41 -------- d-----w C:\Program Files\DivX 2007-06-21 15:28:07 901,363 ------w C:\WINDOWS\system32\klkkj.bak2 2007-06-17 14:26:45 892,553 ------w C:\WINDOWS\system32\klkkj.bak1 2007-05-24 17:06:31 -------- d--h--w C:\Program Files\InstallShield Installation Information 2007-05-24 17:06:31 -------- d-----w C:\Program Files\Samsung 2007-05-21 13:03:37 -------- d-----w C:\DOCUME~1\COMPAQ~1\APPLIC~1\webex 2007-05-21 13:02:24 186,443 ----a-w C:\WINDOWS\system32\atasnt40.dll 2007-04-25 19:55:23 264,097 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_6187.exe 2006-10-18 11:41:12 180,832 ----a-w C:\DOCUME~1\COMPAQ~1\APPLIC~1\GDIPFONTCACHEV1.DAT 2006-05-03 19:53:31 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2004-12-14 01:56 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] 2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2006-11-09 16:21 440056 --a------ C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] 2007-01-20 00:56 2436160 -ra------ c:\program files\google\googletoolbar4.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] 2007-06-13 16:48 325048 --a------ C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}] 2007-04-25 21:55 757760 --a------ C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-13 22:05] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 00:11] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-04-20 18:12] "RAMpage"="C:\Program Files\RAMpage\RAMpage.exe" [2001-01-06 05:00] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 06:00] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 16:48] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=1 (0x1) "NoFavoritesMenu"=0 (0x0) "NoSMMyDocs"=0 (0x0) "NoSMMyPictures"=0 (0x0) "NoStartMenuMyMusic"=0 (0x0) "NoRecentDocsHistory"=1 (0x1) "NoRecentDocsNetHood"=0 (0x0) "NoSMHelp"=1 (0x1) "NoRun"=0 (0x0) "NoInstrumentation"=1 (0x1) "NoSimpleStartMenu"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoWindowsUpdate"=1 (0x1) "NoRecentDocsMenu"=1 (0x1) "NoFavoritesMenu"=0 (0x0) "NoSMMyDocs"=0 (0x0) "NoSMMyPictures"=0 (0x0) "NoStartMenuMyMusic"=0 (0x0) "NoRecentDocsHistory"=1 (0x1) "ClearRecentDocsOnExit"=1 (0x1) "NoRecentDocsNetHood"=0 (0x0) "NoSMHelp"=1 (0x1) "NoUserNameInStartMenu"=1 (0x1) "NoInstrumentation"=1 (0x1) "NoStartMenuPinnedList"=0 (0x0) "ForceStartMenuLogoff"=0 (0x0) "NoSharedDocuments"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard] Contents of the 'Scheduled Tasks' folder 2007-07-20 12:04:00 C:\WINDOWS asks\Symantec NetDetect.job ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-20 14:04:08 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-20 14:04:32 --- E O F ---

Tinihau · Answer

Java à jour Kerio installé et enfin rapport DiagHelp que voici DiagHelp version v1.1.2 - http://www.malekal.com excute le 20/07/2007 à 14:59:59,17 Liste des derniers fichies modifies/crees dans windir\system32 C:\WINDOWS\System32/drivers\avgmfx86.sys -->26/06/2007 10:09:07 C:\WINDOWS\System32/drivers\avg7core.sys -->26/06/2007 10:09:07 C:\WINDOWS\System32/drivers\AvgAsCln.sys -->30/05/2007 14:10:42 C:\WINDOWS\System32/drivers\khips.sys -->26/04/2007 10:21:34 C:\WINDOWS\System32/drivers\fwdrv.sys -->26/04/2007 10:21:30 C:\WINDOWS\System32/drivers cpip.sys -->16/04/2007 23:03:28 C:\WINDOWS\System32/drivers\avgtdi.sys -->03/03/2007 14:28:43 C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->20/07/2007 14:26:05 C:\WINDOWS\System32\yvmsaqnp.ini -->17/07/2007 16:27:08 C:\WINDOWS\System32\wpa.dbl -->16/07/2007 11:38:55 C:\WINDOWS\System32\yxbohcsr.ini -->15/07/2007 09:51:13 C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38 C:\WINDOWS\System32\javacpl.cpl -->12/07/2007 02:22:36 C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04 C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00 C:\WINDOWS\System32\swreg.exe -->11/07/2007 16:59:04 C:\WINDOWS\System32\ywsfxtsk.ini -->11/07/2007 10:14:16 C:\WINDOWS\System32\mlnhxqnw.ini -->11/07/2007 10:08:11 C:\WINDOWS\System32\klkkj.ini -->22/06/2007 11:21:22 C:\WINDOWS\System32 owstkxa.ini -->21/06/2007 17:35:22 C:\WINDOWS\System32\klkkj.bak2 -->21/06/2007 17:28:07 C:\WINDOWS\System32\hiywwcgr.ini -->21/06/2007 17:28:06 C:\WINDOWS\System32\mcrh.tmp -->20/06/2007 09:44:20 C:\WINDOWS\System32\wnilonfy.ini -->19/06/2007 22:07:21 C:\WINDOWS\System32\sdwjaghp.ini -->19/06/2007 09:54:25 C:\WINDOWS\System32\cjgdqmwx.ini -->17/06/2007 16:29:53 C:\WINDOWS\System32\klkkj.bak1 -->17/06/2007 16:26:45 C:\WINDOWS\System32\atasnt40.dll -->21/05/2007 15:02:24 C:\WINDOWS\System32\PerfStringBackup.INI -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfh00C.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfh009.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfc00C.dat -->26/03/2007 19:32:33 C:\WINDOWS\0.log -->20/07/2007 14:56:01 C:\WINDOWS\WindowsUpdate.log -->20/07/2007 14:55:56 C:\WINDOWS\wiadebug.log -->20/07/2007 14:55:54 C:\WINDOWS\wiaservc.log -->20/07/2007 14:55:52 C:\WINDOWS\bootstat.dat -->20/07/2007 14:55:26 C:\WINDOWS\SchedLgU.Txt -->20/07/2007 14:54:54 C:\WINDOWS\system.ini -->20/07/2007 14:48:11 C:\WINDOWS tbtlog.txt -->20/07/2007 13:54:28 C:\WINDOWS\EPISMF00.SWB -->19/07/2007 18:59:10 C:\WINDOWS\IE4 Error Log.txt -->19/07/2007 17:39:48 C:\WINDOWS\setupapi.log -->18/07/2007 22:39:51 C:\WINDOWS\catchme.exe -->04/07/2007 19:21:04 C:\WINDOWS ircmd.exe -->17/06/2007 00:11:58 C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_6187.exe -->25/04/2007 21:55:23 C:\WINDOWS\GetServer.ini -->15/04/2007 23:49:58 Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\system 07/05/1998 11:04 52 736 hpsysdrv.exe 1 fichier(s) 52 736 octets 0 Rép(s) 47 479 525 376 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\system32 05/08/2004 13:00 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 47 479 525 376 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\Downloaded Program Files 20/07/2007 13:59 . 20/07/2007 13:59 .. 22/06/2007 11:21 CONFLICT.1 22/06/2007 11:21 CONFLICT.2 23/11/2004 16:20 65 desktop.ini 25/07/2002 19:13 24 576 dwusplay.dll 25/07/2002 19:13 196 608 dwusplay.exe 21/05/2007 15:02 45 031 gpc2k_FR.ini 27/07/2004 17:48 323 584 isusweb.dll 08/08/2006 11:45 576 kavwebscan.inf 27/04/2007 07:33 144 QTPlugin.inf 14/02/2007 16:30 144 setup.inf 09/11/2006 15:36 5 019 swflash.inf 9 fichier(s) 595 747 octets Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1 22/06/2007 11:21 . 22/06/2007 11:21 .. 0 fichier(s) 0 octets Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.2 22/06/2007 11:21 . 22/06/2007 11:21 .. 0 fichier(s) 0 octets Total des fichiers listés : 9 fichier(s) 595 747 octets 8 Rép(s) 47 479 521 280 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-20 15:01:03 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 240 - atiptaxx.exe 504 - guard.exe 536 - avgamsvr.exe 632 - avgcc.exe 640 - avgemc.exe 652 - avgas.exe 792 - csrss.exe 856 - winlogon.exe 916 - services.exe 928 - lsass.exe 1124 - svchost.exe 1196 - GoogleToolbarNo 1224 - svchost.exe 1320 - svchost.exe 1536 - svchost.exe 1672 - spoolsv.exe 1728 - svchost.exe 2032 - explorer.exe 2400 - wmiprvse.exe 2516 - alg.exe 2660 - cmd.exe 2940 - svchost.exe 4088 - wuauclt.exe Total number of processes = 24 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 tkrnlpa.exe 806E2000 - \WINDOWS\system32\hal.dll F79FC000 - \WINDOWS\system32\KDCOM.DLL F790C000 - \WINDOWS\system32\BOOTVID.dll F73CC000 - ACPI.sys F79FE000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F73BB000 - pci.sys F74FC000 - isapnp.sys F750C000 - ohci1394.sys F751C000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS F7AC4000 - pciide.sys F777C000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F7A00000 - viaide.sys F7A02000 - intelide.sys F752C000 - MountMgr.sys F739C000 - ftdisk.sys F7784000 - PartMgr.sys F753C000 - VolSnap.sys F7384000 - atapi.sys F754C000 - disk.sys F755C000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F7364000 - fltMgr.sys F7352000 - sr.sys F778C000 - PxHelp20.sys F733B000 - KSecDD.sys F72AE000 - Ntfs.sys F7281000 - NDIS.sys F756C000 - vvoice.sys F721F000 - vpctcom.sys F718B000 - vmodem.sys F7170000 - Mup.sys F75DC000 - \SystemRoot\system32\DRIVERS ic1394.sys F76CC000 - \SystemRoot\system32\DRIVERS\intelppm.sys F6FDA000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys F6FC6000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F7854000 - \SystemRoot\system32\DRIVERS\usbohci.sys F6FA3000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F785C000 - \SystemRoot\system32\DRIVERS\usbehci.sys F76DC000 - \SystemRoot\system32\DRIVERS\imapi.sys F76EC000 - \SystemRoot\system32\DRIVERS\cdrom.sys F76FC000 - \SystemRoot\system32\DRIVERS edbook.sys F6F80000 - \SystemRoot\system32\DRIVERS\ks.sys F6F5B000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys F7864000 - \SystemRoot\system32\DRIVERS\fdc.sys F6F47000 - \SystemRoot\system32\DRIVERS\parport.sys F770C000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F786C000 - \SystemRoot\system32\DRIVERS\PS2.sys F7874000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F787C000 - \SystemRoot\system32\DRIVERS\mouclass.sys F6F2B000 - \SystemRoot\system32\DRIVERS\ptserlp.sys F7884000 - \SystemRoot\System32\Drivers\Modem.SYS F6F18000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys F7C2B000 - \SystemRoot\system32\DRIVERS\audstub.sys F771C000 - \SystemRoot\system32\DRIVERS asl2tp.sys F79AC000 - \SystemRoot\system32\DRIVERS distapi.sys F6E61000 - \SystemRoot\system32\DRIVERS diswan.sys F772C000 - \SystemRoot\system32\DRIVERS aspppoe.sys F773C000 - \SystemRoot\system32\DRIVERS aspptp.sys F788C000 - \SystemRoot\system32\DRIVERS\TDI.SYS F6E50000 - \SystemRoot\system32\DRIVERS\psched.sys F774C000 - \SystemRoot\system32\DRIVERS\msgpc.sys F7894000 - \SystemRoot\system32\DRIVERS\ptilink.sys F789C000 - \SystemRoot\system32\DRIVERS aspti.sys F775C000 - \SystemRoot\system32\DRIVERS ermdd.sys F7A0C000 - \SystemRoot\system32\DRIVERS\swenum.sys F6E1C000 - \SystemRoot\system32\DRIVERS\update.sys F79B8000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F776C000 - \SystemRoot\System32\Drivers\NDProxy.SYS F760C000 - \SystemRoot\system32\DRIVERS\usbhub.sys F7A0E000 - \SystemRoot\system32\DRIVERS\USBD.SYS F29DC000 - \SystemRoot\system32\drivers\RtkHDAud.sys F29BA000 - \SystemRoot\system32\drivers\portcls.sys F761C000 - \SystemRoot\system32\drivers\drmk.sys F7A12000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F7B9A000 - \SystemRoot\System32\Drivers\Null.SYS F7A14000 - \SystemRoot\System32\Drivers\Beep.SYS F7BB7000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys F7BBA000 - \SystemRoot\System32\Drivers\avgclean.sys F78AC000 - \SystemRoot\System32\drivers\vga.sys F7A16000 - \SystemRoot\System32\Drivers\mnmdd.SYS F7A18000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F2811000 - \SystemRoot\system32\drivers\fwdrv.sys F78BC000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS F78C4000 - \SystemRoot\System32\Drivers\Msfs.SYS F78CC000 - \SystemRoot\System32\Drivers\Npfs.SYS F299A000 - \SystemRoot\system32\DRIVERS asacd.sys F27FE000 - \SystemRoot\system32\DRIVERS\ipsec.sys F27A6000 - \SystemRoot\system32\DRIVERS cpip.sys F2785000 - \SystemRoot\system32\DRIVERS\ipnat.sys F275D000 - \SystemRoot\system32\DRIVERS etbt.sys F273B000 - \SystemRoot\System32\drivers\afd.sys F763C000 - \SystemRoot\system32\DRIVERS etbios.sys F764C000 - \SystemRoot\system32\DRIVERS\wanarp.sys F2710000 - \SystemRoot\system32\DRIVERS dbss.sys F2679000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F2668000 - \SystemRoot\system32\drivers\khips.sys F765C000 - \SystemRoot\system32\DRIVERS\arp1394.sys F766C000 - \SystemRoot\System32\Drivers\Fips.SYS F259F000 - \SystemRoot\System32\Drivers\avg7core.sys F78F4000 - \SystemRoot\system32\DRIVERS\usbccgp.sys F2966000 - \SystemRoot\system32\DRIVERS\usbscan.sys F7904000 - \SystemRoot\system32\DRIVERS\usbprint.sys F7A24000 - \SystemRoot\System32\Drivers\avg7rsw.sys F779C000 - \SystemRoot\System32\Drivers\avg7rsxp.sys F257C000 - \SystemRoot\System32\Drivers\Fastfat.SYS F7C1A000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys BF800000 - \SystemRoot\System32\win32k.sys F293A000 - \SystemRoot\System32\drivers\Dxapi.sys F77DC000 - \SystemRoot\System32\watchdog.sys BF9C2000 - \SystemRoot\System32\drivers\dxg.sys F7B06000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D4000 - \SystemRoot\System32\ati2dvag.dll BFA13000 - \SystemRoot\System32\ati2cqag.dll BFA4C000 - \SystemRoot\System32\atikvmag.dll BFA81000 - \SystemRoot\System32\ati3duag.dll BFCCE000 - \SystemRoot\System32\ativvaxx.dll F0358000 - \SystemRoot\system32\DRIVERS disuio.sys BFFA0000 - \SystemRoot\System32\ATMFD.DLL F00F7000 - \SystemRoot\system32\drivers\wdmaud.sys F018C000 - \SystemRoot\system32\drivers\sysaudio.sys EFF14000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F6E98000 - \SystemRoot\System32\Drivers\Cdfs.SYS F7A8E000 - \SystemRoot\System32\Drivers\avgtdi.sys EFDE3000 - \SystemRoot\System32\Drivers\HTTP.sys EFC79000 - \SystemRoot\system32\DRIVERS\srv.sys F7C4B000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 126 Liste des programmes installes a-squared Free 2.0 Ad-Aware SE Personal Adobe Flash Player 9 ActiveX Adobe Photoshop 7.0 Adobe Reader 7.0 - Français Adobe Shockwave Player Archiveur WinRAR ATI Display Driver AVG 7.5 AVG Anti-Spyware 7.5 Azureus Carta-Genius 5.2.0 CCleaner (remove only) Compaq Multimedia Keyboard Software CorelDRAW Graphics Suite 12 Correctif Windows XP - KB873339 Correctif Windows XP - KB883667 Correctif Windows XP - KB885250 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB885884 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB887742 Correctif Windows XP - KB888113 Correctif Windows XP - KB888239 Correctif Windows XP - KB888302 Correctif Windows XP - KB890175 Correctif Windows XP - KB890859 Correctif Windows XP - KB891781 Correctif Windows XP - KB892050 Correctif Windows XP - KB893066 eMule EPSON Logiciel imprimante EPSON Scan EPSON Scan Assistant FileZilla (remove only) Flash MX Google Earth Google Toolbar for Internet Explorer High Definition Audio - KB888111 HijackThis 1.99.1 Hijackthis Version Française HP Software Update HpSdpAppCoreApp InterVideo WinDVD Player InterVideo WinDVD Player Java(TM) 6 Update 2 jv16 PowerTools 1.3 Kaspersky Online Scanner Lecteur Windows Media 10 Macromedia Dreamweaver MX Macromedia Extension Manager Macromedia Flash MX Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB886903) Microsoft Office PowerPoint Viewer 2003 Microsoft Office XP Small Business Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734) Mise à jour de sécurité pour Step by Step Interactive Training (KB898458) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896422) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896424) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB896688) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB904706) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911567) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB912812) Mise à jour de sécurité pour Windows XP (KB912919) Mise à jour de sécurité pour Windows XP (KB913446) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB916281) Mise à jour de sécurité pour Windows XP (KB917159) Mise à jour de sécurité pour Windows XP (KB917344) Mise à jour de sécurité pour Windows XP (KB917422) Mise à jour de sécurité pour Windows XP (KB917953) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB918899) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920214) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB921398) Mise à jour de sécurité pour Windows XP (KB921883) Mise à jour de sécurité pour Windows XP (KB922616) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB908531) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB911280) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) MRU-Blaster v1.5 (Database 3/28/2004) Navilog1 Version 2.0.5 Neverwinter Nights Panneau de contrôle ATI PC-Doctor 5 for Windows PDFCreator PDFCreator Toolbar Realtek High Definition Audio Driver SAGEM F@st 800-840 SAMSUNG CDMA Modem Driver Set SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio Samsung PC Studio Sonic MyDVD Plus Sonic RecordNow Audio Sonic RecordNow Copy Sonic RecordNow Data Sonic Update Manager SoulSeek Client 156c Spybot - Search & Destroy 1.4 Sunbelt Personal Firewall SWiSHmax WebFldrs XP Windows Genuine Advantage Notifications (KB905474) Windows Genuine Advantage Validation Tool (KB892130) Windows Installer 3.1 (KB893803) Windows Media Format Runtime WinHTTrack Website Copier 3.33 xp-AntiSpy 3.96-2 Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files 20/07/2007 14:54 . 20/07/2007 14:54 .. 21/05/2006 14:12 Adobe 17/07/2007 18:01 a-squared Free 04/01/2006 18:00 ATI Technologies 15/05/2007 21:50 Azureus 17/07/2007 16:28 CCleaner 04/01/2006 18:00 ComPlus Applications 26/04/2006 15:51 Corel 22/06/2007 10:01 DivX 05/07/2007 09:09 eMule 27/04/2006 00:09 epson 17/07/2007 16:15 Fichiers communs 21/05/2006 21:57 FileZilla 07/02/2007 19:32 Google 22/06/2007 10:16 Grisoft 04/01/2006 18:01 Hewlett-Packard 20/07/2007 13:56 Hijackthis Version Française 04/01/2006 18:02 Hp 24/06/2006 12:14 Intel Desktop Board 10/08/2006 10:00 Internet Explorer 04/01/2006 18:02 InterVideo 21/05/2006 14:02 IrfanView 20/07/2007 14:31 Java 26/01/2007 23:40 jv16 PowerTools 20/07/2007 14:45 Kerio 17/07/2007 16:18 Lavasoft 10/05/2007 21:50 Macromedia 28/01/2007 12:31 Messenger 04/01/2006 18:02 microsoft frontpage 04/12/2006 14:36 Microsoft Office 04/01/2006 18:03 Movie Maker 31/08/2006 14:55 Mozilla Firefox 17/07/2007 15:56 MRU-Blaster 04/01/2006 18:03 MSN 04/01/2006 18:03 MSN Gaming Zone 18/07/2007 23:04 Navilog1 04/01/2006 18:03 NetMeeting 24/11/2006 19:58 Neverwinter Nights 07/08/2006 23:40 Outlook Express 15/12/2006 18:26 Pandocréon 24/06/2006 00:09 PC-Doctor 5 for Windows 25/04/2007 21:55 PDFCreator 25/04/2007 21:55 PDFCreator Toolbar 10/07/2007 22:22 QuickTime 24/05/2007 19:06 Samsung 02/05/2006 00:18 Services en ligne 02/05/2006 00:10 Sonic 28/06/2007 13:43 Soulseek 17/07/2007 16:01 Spybot - Search & Destroy 20/07/2007 14:54 Sunbelt Software 15/05/2007 17:47 SWiSHmax 16/05/2006 10:25 Symantec 04/01/2006 18:05 Uninstall Information 07/08/2006 23:40 Wanadoo 16/05/2006 11:31 Windows Media Player 04/01/2006 18:05 Windows NT 30/05/2006 22:31 WinHTTrack 21/05/2006 13:29 WinRAR 04/01/2006 18:05 xerox 28/01/2007 12:15 xp-AntiSpy 0 fichier(s) 0 octets 61 Rép(s) 47 479 336 960 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files\fichiers communs 17/07/2007 16:15 . 17/07/2007 16:15 .. 21/05/2006 14:12 Adobe 04/07/2007 15:07 AVSMedia 26/04/2006 15:51 Corel 28/04/2006 10:54 Designer 27/04/2006 00:08 InstallShield 04/01/2006 18:00 Java 20/05/2006 22:59 Macromedia 04/07/2007 15:06 Microsoft Shared 04/01/2006 18:00 MSSoap 04/01/2006 18:00 ODBC 28/04/2006 15:14 Real 04/01/2006 18:00 Roxio Shared 04/01/2006 18:01 Sonic Shared 04/01/2006 18:01 SpeechEngines 16/05/2006 10:26 Symantec Shared 16/05/2006 11:28 System 04/01/2006 18:01 TiVo Shared 20/05/2006 22:58 Vbox 0 fichier(s) 0 octets 20 Rép(s) 47 479 336 960 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 28/04/2006 10:54 . 28/04/2006 10:54 .. 28/04/2006 10:54 1033 28/04/2006 10:54 1036 15/02/2001 05:45 1 318 912 MSONSEXT.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 06/08/2000 09:04 401 462 MSVCP60.DLL 22/01/2001 03:25 69 632 PKMAXCTL.DLL 22/01/2001 03:25 872 448 PKMCDO.DLL 22/01/2001 03:25 159 744 PKMCORE.DLL 07/02/2001 09:59 106 496 PKMFORMS.DLL 12/02/2001 04:03 684 032 PKMRES.DLL 22/01/2001 03:25 28 672 PKMSSTLB.DLL 22/01/2001 03:25 40 960 PKMTEMPL.DLL 22/01/2001 03:25 24 576 PKMTRACE.DLL 22/01/2001 03:25 86 016 PKMWS.DLL 22/01/2001 03:25 237 568 PROMDEMO.DLL 22/01/2001 03:25 184 320 SECMGR.DLL 22/01/2001 03:25 323 584 VAIDDMGR.DLL 22/01/2001 03:25 32 768 VAIMEM.DLL 17 fichier(s) 4 821 160 octets 4 Rép(s) 47 479 336 960 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\ 12/05/2007 18:22 68 096 diff.exe 12/05/2007 18:22 103 424 grep.exe 2 fichier(s) 171 520 octets 0 Rép(s) 47 479 336 960 octets libres c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\jre-6u2-windows-i586-p-iftw.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\kerio-kpf-4.2.2-911-win.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\catchme.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\diff.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\dumphive.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\find2.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\Fport.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\grep.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\KProcCheck.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\LFiles.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\pslist.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\streams.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\DiagHelp\swreg.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Nouveau dossier\Numark Cue v4.1-BEAN\patch.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Nouveau dossier\Numark Cue v4.1-BEAN\Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Jeux\pandocreon_carta-genius-5.2.0-windows-install.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Maman\FreeDial_Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Maman\setupvoipstunt.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AdbeRdr705_fra_full.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avg71free_385a729.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avg75free_446a965.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avgas-setup-7.5.1.43.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AVSVideoEditor.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AVSVideoReMaker.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\camstudio_camstudio_2.0_francais_10618.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\dBpowerAMP-codec-flac.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\dBpowerAMP-codec-mp4.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\eMule0.46c-Installer.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FileZilla_2_2_23a_setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Gordian.Knot.Codec.Pack.1.9.Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\GordianKnot.RipPack.0.35.0.Setup.2.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\httrack-3.33.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\JawsPDFCreatorFr.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\klcodec325f.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\PDFCreator-0_9_3_GPLGhostscript.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\PNYUSB_Win98.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WM9Codecs.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\wrar342fr.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AIDA32 - Enterprise System Information\aida32.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AIDA32 - Enterprise System Information\unins000.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Driver graveur\530A_21g.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Encoder 9 fr pour XP et 2000\WMEncoder.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\a2FreeSetup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\aawsepersonal.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\ccsetup140.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\fsbl.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\mrublastersetup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\Navilog1.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\spybotsd14.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\VirtumundoBeGone.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\VundoFix.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Liquid\Liquid_Edition_DVD-Player_compatibility_Hotfix_Setup_BETA.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Nero_Burning_ROM_6.6.0.8_MultiLang_incl_KeyGen\Nero Burning ROM 6.6.0.8\Nero-6.6.0.8.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SwiSH Templates\Premium Flasheasy\premium_t_kit_flasheasy\premium_flasheasy ext_editor\FlashPla.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SWiSHmax Build 2003.09.03\SetupSwishmax.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SWiSHmax Build 2003.09.03\Cracked\SwishMax.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\wrar300.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\Crack + Keygen\azl_wrar28_kg.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\Crack + Keygen srh-wrar3b7uni_crk.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\RDD\ebon34\EBoN.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Voyages\echo31install.exe c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Dreamweaver MX\Configuration\Flash Player\FlashPlayerW.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Flash MX\Configuration\authplay.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Flash MX\Configuration\Importers\AIImport.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Flash MX\Configuration\Importers\FhDbRdr.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Flash MX\Configuration\Importers\Fireworks Importer.dll c:\Documents and Settings\Compaq_Propriétaire\Application Data\Macromedia\Flash MX\Configuration\Importers\ToonboomStudioImportPlugin.dll c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll ****** Fin du rapport DiagHelp Qu'en est-il ?

Tinihau · Answer

Et aussi nouveau log HJT


Logfile of HijackThis v1.99.1
Scan saved at 15:20:07, on 20/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

afideg · Answer

Bonjour Tinihau Compliqué. Trop de questions. On va commencer comme ceci, en espérant que mon ami Lyonnais puisse garder un œil critique. ;) A)- Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, -C:\WINDOWS\System32\mcrh.tmp ==> supprimé par "clean" ==> manque d'information . -C:\WINDOWS\System32\swreg.exe : MD5: 68f9aeb2df69a6117e65d2c6fc804775 ==> Dangereuse comme ceci: 1°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer fichiers protégés du dossier système Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > 2°- Ensuite vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) •- c'est-à-dire : C:\WINDOWS\System32\mcrh.tmp C:\WINDOWS\System32\swreg.exe •- quand tu as trouvé le premier fichier mcrh.tmp, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier mcrh.tmpse retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse ) DONC, tu refais la manipulation avec swreg.exe dont tu postes le rapport à chaque fois. Merci pour ta collaboration Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 B)- Les extensions en ini2,bak1,bak2,c'est du vundo. Donc, fais ceci SVP : 1°- Télécharger OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe 2°- Désactiver la restauration système. ( Clic sur « Démarrer » Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu y coches la case « Désactiver la restauration » Termine par [Appliquer] ) 3°- Redémarrer le PC 4°- Réactiver la restauration système ( Clic droit sur poste de travail puis, propriétés, tu cliques sur onglet restauration système tu décoches la case « désactiver la restauration » et [appliquer]. ) 5°- Double-cliquer sur OTMoveIt.exe pour le lancer. -copier/coller le chemin exact du fichier que tu veux supprimer : C:\WINDOWS\System32\yvmsaqnp.ini C:\WINDOWS\System32\yxbohcsr.ini C:\WINDOWS\System32\ywsfxtsk.ini C:\WINDOWS\System32\mlnhxqnw.ini C:\WINDOWS\System32\klkkj.ini C:\WINDOWS\System32 owstkxa.ini C:\WINDOWS\System32\klkkj.bak2 C:\WINDOWS\System32\hiywwcgr.ini C:\WINDOWS\System32\wnilonfy.ini C:\WINDOWS\System32\sdwjaghp.ini C:\WINDOWS\System32\cjgdqmwx.ini C:\WINDOWS\System32\klkkj.bak1 -dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ". -clique sur MoveIt! pour lancer la suppression. -le résultat apparaitra dans le cadre "Results". -clique sur "Exit" pour fermer. -un rapport est situé dans C:\_OTMoveIt\MovedFiles. Poste-le SVP, merci Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes. •- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport. 6°- Relancer VundoFix.exe et poster le rapport SVP. C)- Poursuivre et répondre à ces questions éventuellement . Merci. 7°- Supprime Hijackthis Version Française 8°- Ton antivirus est-il bien AVG 7.5 avec licence ; est-il mis à jour ? Car je vois ceci : -c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avg71free_385a729.exe ==> à supprimer. -c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avg75free_446a965.exe 9°- Mais je vois encore : C:\Program Files\Symantec ; à quoi sert-il ? C:\Program Files\fichiers communs\Symantec Shared 10°- Le clou !!: •- c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SwiSH Templates\Premium Flasheasy\premium_t_kit_flasheasy\premium_flasheasy ext_editor\FlashPla.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SWiSHmax Build 2003.09.03\SetupSwishmax.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Swish 2.01 Complete Suite (SwiSHmax + Templates + Crack\SWiSHmax Build 2003.09.03\Cracked\SwishMax.exe •- c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\wrar300.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\Crack + Keygen\azl_wrar28_kg.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WinRAR_3.00_FINAL_-_Incl.Keygen\Crack + Keygen srh-wrar3b7uni_crk.exe Et pour finir: C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38 ==> Je crains que ceci appartienne à l'ancienne version JAVA C:\WINDOWS\System32\javacpl.cpl -->12/07/2007 02:22:36 ==> Je crains que ceci appartienne à l'ancienne version JAVA C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04 ==> Je crains que ceci appartienne à l'ancienne version JAVA C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00 ==> Je crains que ceci appartienne à l'ancienne version JAVA Et donc, je ne comprends pas pourquoi la mise à jour n'a pas supprimé ces fichiers datés du 12/07/2007 ( soit antérieur à la MàJ ). Courage Merci Al.

Tinihau · Answer

Salut Afideg
Merci pour tout ce boulot qu'il me reste à faire ;-)
Le problème, c'est que j'ai vraiment pas le temps pour le moment.
Je dois m'absenter jusqu'au 1er août.
Mon ordi ne sera pas allumé.
Est-ce que ça peut attendre jusque là ?
Devrais-je reposter un nouveau message ou on continue sur celui là ?
Tiens moi au courant.
Merci

afideg · Answer

Re,
Garde-le au chaud ( éteint ! )  ;)
OUI, on continuera sur ce topic.
Bonnes vacances.
À ton retour, je serai sans doute absent une semaine, moi aussi .
Al.

Tinihau · Answer

Salut Al.
OK, alors rdv début août.
Malheureusement c'est pas des vacances pour moi
Si pour toi oui, je te les souhaite bonnes.
A bientôt
Tinihau

afideg · Answer

Tinihau, 

As-tu au moins pu terminer avec succès tout ce qui avait été prescrit ??


Voici la première partie de la suite : télécharger directement le .exe ici : 
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.

Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation. 
Choisis la langue usuelle.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau). 
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1). 

Laisse-toi guider. 
Au menu principal, choisis 1 et valide. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

Merci
Al.

Lyonnais92 · Answer

Bonjour,

je ne sais pas si Al est dans les parages.

Commence par refaire un log Hijackthis et le mettre dans ta réponse.
@+

Tinihau · Answer

Bonjour Lyonnais,
voici mon log

Logfile of HijackThis v1.99.1
Scan saved at 15:56:08, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

A+
Tinihau

afideg · Answer

Bonjour Lyonnais

Je n'aurai pas assez le temps de poursuivre ce soir.

Mais je doute sur les écritures ici :

Castle Cops ==> Internet Explorer X IEXPLORE.EXE  (Added by a Rbot-EY worm infection)

pour ces deux lignes :

C:\Program Files\internet explorer\iexplore.exe 
C:\Program Files\internet explorer\iexplore.exe

Merci à toi.

Al.

Lyonnais92 · Answer

Re,

pour vérifier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Program Files\internet explorer\iexplore.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 
@+

Tinihau · Answer

Re,
voici le log de virustotal

Fichier iexplore.exe reçu le 2007.09.04 17:55:20 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.9.4.1 2007.09.04 - 
AntiVir 7.4.1.66 2007.09.04 - 
Authentium 4.93.8 2007.09.04 - 
Avast 4.7.1029.0 2007.09.04 - 
AVG 7.5.0.485 2007.09.04 - 
BitDefender 7.2 2007.09.04 - 
CAT-QuickHeal 9.00 2007.09.04 - 
ClamAV 0.91.2 2007.09.04 - 
DrWeb 4.33 2007.09.04 - 
eSafe 7.0.15.0 2007.09.03 - 
eTrust-Vet 31.1.5107 2007.09.04 - 
Ewido 4.0 2007.09.04 - 
FileAdvisor 1 2007.09.04 - 
Fortinet 3.11.0.0 2007.09.04 - 
F-Prot 4.3.2.48 2007.09.04 - 
F-Secure 6.70.13030.0 2007.09.04 - 
Ikarus T3.1.1.12 2007.09.04 - 
Kaspersky 4.0.2.24 2007.09.04 - 
McAfee 5111 2007.09.03 - 
Microsoft 1.2803 2007.09.04 - 
NOD32v2 2503 2007.09.04 - 
Norman 5.80.02 2007.09.04 - 
Panda 9.0.0.4 2007.09.04 - 
Prevx1 V2 2007.09.04 - 
Rising 19.39.12.00 2007.09.04 - 
Sophos 4.21.0 2007.09.04 - 
Sunbelt 2.2.907.0 2007.08.31 - 
Symantec 10 2007.09.04 - 
TheHacker 6.1.9.177 2007.09.04 - 
VBA32 3.12.2.3 2007.09.04 - 
VirusBuster 4.3.26:9 2007.09.04 - 
Webwasher-Gateway 6.0.1 2007.09.04 - 
 
Information additionnelle 
File size: 93184 bytes 
MD5: 833e2b3f0e2484c0f2b804ae871b4381 
SHA1: 94379b749122578362e923e5039b0c43820b3c0f 
 
Antivirus;Version;Dernière mise à jour;Résultat
AhnLab-V3;2007.9.4.1;2007.09.04;-
AntiVir;7.4.1.66;2007.09.04;-
Authentium;4.93.8;2007.09.04;-
Avast;4.7.1029.0;2007.09.04;-
AVG;7.5.0.485;2007.09.04;-
BitDefender;7.2;2007.09.04;-
CAT-QuickHeal;9.00;2007.09.04;-
ClamAV;0.91.2;2007.09.04;-
DrWeb;4.33;2007.09.04;-
eSafe;7.0.15.0;2007.09.03;-
eTrust-Vet;31.1.5107;2007.09.04;-
Ewido;4.0;2007.09.04;-
FileAdvisor;1;2007.09.04;-
Fortinet;3.11.0.0;2007.09.04;-
F-Prot;4.3.2.48;2007.09.04;-
F-Secure;6.70.13030.0;2007.09.04;-
Ikarus;T3.1.1.12;2007.09.04;-
Kaspersky;4.0.2.24;2007.09.04;-
McAfee;5111;2007.09.03;-
Microsoft;1.2803;2007.09.04;-
NOD32v2;2503;2007.09.04;-
Norman;5.80.02;2007.09.04;-
Panda;9.0.0.4;2007.09.04;-
Prevx1;V2;2007.09.04;-
Rising;19.39.12.00;2007.09.04;-
Sophos;4.21.0;2007.09.04;-
Sunbelt;2.2.907.0;2007.08.31;-
Symantec;10;2007.09.04;-
TheHacker;6.1.9.177;2007.09.04;-
VBA32;3.12.2.3;2007.09.04;-
VirusBuster;4.3.26:9;2007.09.04;-
Webwasher-Gateway;6.0.1;2007.09.04;-

Information additionnelle
File size: 93184 bytes
MD5: 833e2b3f0e2484c0f2b804ae871b4381
SHA1: 94379b749122578362e923e5039b0c43820b3c0f

A très vite, merci
Tinihau

Lyonnais92 · Answer

Re,

bon, iexplore est sain.

On en revient aun post 29.

Avais tu tout fait ?

Fait ce qui est demandé avec navilog.

@+

Tinihau · Answer

Re,
Je n'ai effectivement pas pu terminer la première partie.
Je reprend donc du début.

1er rapport VirusTotal fichier mcrh.tmp

Fichier mcrh.tmp reçu le 2007.09.04 23:38:14 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.9.5.0 2007.09.04 - 
AntiVir 7.4.1.66 2007.09.04 - 
Authentium 4.93.8 2007.09.04 - 
Avast 4.7.1029.0 2007.09.04 - 
AVG 7.5.0.485 2007.09.04 - 
BitDefender 7.2 2007.09.04 - 
CAT-QuickHeal 9.00 2007.09.04 - 
ClamAV 0.91.2 2007.09.04 - 
DrWeb 4.33 2007.09.04 - 
eSafe 7.0.15.0 2007.09.04 - 
eTrust-Vet 31.1.5107 2007.09.04 - 
Ewido 4.0 2007.09.04 - 
FileAdvisor 1 2007.09.04 - 
Fortinet 3.11.0.0 2007.09.04 - 
F-Prot 4.3.2.48 2007.09.04 - 
F-Secure 6.70.13030.0 2007.09.04 - 
Ikarus T3.1.1.12 2007.09.04 - 
Kaspersky 4.0.2.24 2007.09.04 - 
McAfee 5112 2007.09.04 - 
Microsoft 1.2803 2007.09.04 - 
NOD32v2 2505 2007.09.04 - 
Norman 5.80.02 2007.09.04 - 
Panda 9.0.0.4 2007.09.04 - 
Prevx1 V2 2007.09.04 - 
Rising 19.39.12.00 2007.09.04 - 
Sophos 4.21.0 2007.09.04 - 
Sunbelt 2.2.907.0 2007.08.31 - 
Symantec 10 2007.09.04 - 
TheHacker 6.1.9.177 2007.09.04 - 
VBA32 3.12.2.3 2007.09.04 - 
VirusBuster 4.3.26:9 2007.09.04 - 
Webwasher-Gateway 6.0.1 2007.09.04 - 
 
Information additionnelle 
File size: 143 bytes 
MD5: 1f5e24a44166b37d37bfd445cbf6bff7 
SHA1: fefb94ac523676c24e7f241cf591787a68d27258 


2° rapport Virus Total fichier swreg.exe

Fichier swreg.exe reçu le 2007.09.04 23:48:35 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.9.5.0 2007.09.04 - 
AntiVir 7.4.1.66 2007.09.04 - 
Authentium 4.93.8 2007.09.04 - 
Avast 4.7.1029.0 2007.09.04 - 
AVG 7.5.0.485 2007.09.04 - 
BitDefender 7.2 2007.09.04 - 
CAT-QuickHeal 9.00 2007.09.04 - 
ClamAV 0.91.2 2007.09.04 - 
DrWeb 4.33 2007.09.04 - 
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm 
eTrust-Vet 31.1.5107 2007.09.04 - 
Ewido 4.0 2007.09.04 - 
FileAdvisor 1 2007.09.04 - 
Fortinet 3.11.0.0 2007.09.04 - 
F-Prot 4.3.2.48 2007.09.04 - 
F-Secure 6.70.13030.0 2007.09.04 - 
Ikarus T3.1.1.12 2007.09.04 - 
Kaspersky 4.0.2.24 2007.09.04 - 
McAfee 5112 2007.09.04 - 
Microsoft 1.2803 2007.09.04 - 
NOD32v2 2505 2007.09.04 - 
Norman 5.80.02 2007.09.04 - 
Panda 9.0.0.4 2007.09.04 Suspicious file 
Prevx1 V2 2007.09.04 Generic.Malware 
Rising 19.39.12.00 2007.09.04 - 
Sophos 4.21.0 2007.09.04 - 
Sunbelt 2.2.907.0 2007.08.31 - 
Symantec 10 2007.09.04 - 
TheHacker 6.1.9.177 2007.09.04 - 
VBA32 3.12.2.3 2007.09.04 - 
VirusBuster 4.3.26:9 2007.09.04 - 
Webwasher-Gateway 6.0.1 2007.09.04 - 
 
Information additionnelle 
File size: 139776 bytes 
MD5: 5b2d10923c3a7967ef6b7af091bd1ab4 
SHA1: 4a68b7117de69c88d6b5521046f04d5c3caf5706 
packers: UPX 
packers: UPX 
packers: UPX 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C45D914200A8E31522BD02AE4F96BB003F2A3731 

Apparament il y a un bug !!!
Je" passe à la deuxième partieOTMoveIt
A +
Tinihau

Lyonnais92 · Answer

Bonjour,

swreg.exe est un faux positif.

Continue.

@+

Tinihau · Answer

Rapport OTMoveIt

C:\WINDOWS\System32\yvmsaqnp.ini moved successfully.
C:\WINDOWS\System32\yxbohcsr.ini moved successfully.
C:\WINDOWS\System32\ywsfxtsk.ini moved successfully.
C:\WINDOWS\System32\mlnhxqnw.ini moved successfully.
C:\WINDOWS\System32\klkkj.ini moved successfully.
C:\WINDOWS\System32
owstkxa.ini moved successfully.
C:\WINDOWS\System32\klkkj.bak2 moved successfully.
C:\WINDOWS\System32\hiywwcgr.ini moved successfully.
C:\WINDOWS\System32\wnilonfy.ini moved successfully.
C:\WINDOWS\System32\sdwjaghp.ini moved successfully.
C:\WINDOWS\System32\cjgdqmwx.ini moved successfully.
C:\WINDOWS\System32\klkkj.bak1 moved successfully.
 
Created on 09/05/2007 00:07:36

Tinihau · Answer

Re Lyonnais
Et voici le rapport VundoFix


VundoFix V6.5.8

Checking Java version...

Scan started at 00:15:51 05/09/2007

Listing files found while scanning....

No infected files were found.



Un faux positif ? Ca veut dire quoi ?

Tinihau · Answer

Et voici le rapport navilog

Search Navipromo version 2.0.9 commencé le 05/09/2007 à  0:40:55,84
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/05/07 at 00:41:00.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/05/07 at 00:43:52 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 05/09/2007 à  0:44:20,04 ***


merci à vous pour votre aide
bonne nuit
Tinihau

Lyonnais92 · Answer

Bonjour,

Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 
 
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.

Remets un log Hijackthis;

@+

Tinihau · Answer

Bonjour Lyonnais,
voici le rapport Clean

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 05/09/2007 a 10:36:46,95 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp 
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1" 
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.2" 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 


Et HJT

Logfile of HijackThis v1.99.1
Scan saved at 10:44:36, on 05/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


A+
Tinihau

Lyonnais92 · Answer

Bonjour,

tu remets un rapport diaghelp pour afideg.
@+

Tinihau · Answer

Rapport DiagHelp Mais il ne m'a pas demandé de redémarer l'ordinateur. DiagHelp version v1.2 - http://www.malekal.com excute le 05/09/2007 à 11:08:25,65 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\IEXPLORE.EXE-2D97EBE6.pf -->05/09/2007 11:07:01 C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->05/09/2007 11:06:55 C:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->05/09/2007 11:05:57 C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->05/09/2007 11:05:48 C:\WINDOWS\prefetch\TASKMGR.EXE-06144C13.pf -->05/09/2007 11:00:47 C:\WINDOWS\prefetch\UNINSTAL.EXE-0ABD064F.pf -->05/09/2007 10:59:59 C:\WINDOWS\prefetch\RUNDLL32.EXE-6DF739B2.pf -->05/09/2007 10:59:05 C:\WINDOWS\prefetch\KPF4GUI.EXE-3B74775B.pf -->05/09/2007 10:58:27 C:\WINDOWS\prefetch\VERSION TRADUITE ORIGINALE.EX-04EC7485.pf -->05/09/2007 10:44:33 C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->05/09/2007 10:43:02 C:\WINDOWS\System32\drivers\fwdrv.err -->05/09/2007 11:00:57 C:\WINDOWS\System32\drivers\avg7core.sys -->04/09/2007 09:34:29 C:\WINDOWS\System32\drivers\avgmfx86.sys -->26/06/2007 10:09:07 C:\WINDOWS\System32\drivers\AvgAsCln.sys -->30/05/2007 14:10:42 C:\WINDOWS\System32\drivers\khips.sys -->26/04/2007 10:21:34 C:\WINDOWS\System32\drivers\fwdrv.sys -->26/04/2007 10:21:30 C:\WINDOWS\System32\drivers cpip.sys -->16/04/2007 23:03:28 C:\WINDOWS\System32\wpa.dbl -->26/08/2007 21:31:36 C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->20/07/2007 14:26:05 C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38 C:\WINDOWS\System32\javacpl.cpl -->12/07/2007 02:22:36 C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04 C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00 C:\WINDOWS\System32\swreg.exe -->11/07/2007 16:59:04 C:\WINDOWS\System32\atasnt40.dll -->21/05/2007 15:02:24 C:\WINDOWS\System32\PerfStringBackup.INI -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfh00C.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfh009.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfc00C.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\perfc009.dat -->26/03/2007 19:32:33 C:\WINDOWS\System32\jupdate-1.5.0_10-b03.log -->08/01/2007 10:15:44 C:\WINDOWS\System32\swxcacls.exe -->01/12/2006 05:20:32 C:\WINDOWS\System32\swsc.exe -->29/11/2006 17:21:29 C:\WINDOWS\System32\vfind.exe -->27/11/2006 02:34:46 C:\WINDOWS\System32\jupdate-1.5.0_09-b03.log -->09/11/2006 11:40:52 C:\WINDOWS\System32\MRT.exe -->11/09/2006 19:37:21 C:\WINDOWS\System32\fltlib.dll -->21/08/2006 14:26:15 C:\WINDOWS\System32\fltmc.exe -->21/08/2006 11:14:58 C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->08/08/2006 11:39:25 C:\WINDOWS\System32\mshtml.dll -->28/07/2006 13:28:08 C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19 C:\WINDOWS\System32\urlmon.dll -->25/07/2006 22:41:01 C:\WINDOWS\0.log -->05/09/2007 10:39:50 C:\WINDOWS\WindowsUpdate.log -->05/09/2007 10:39:41 C:\WINDOWS\wiadebug.log -->05/09/2007 10:39:40 C:\WINDOWS\wiaservc.log -->05/09/2007 10:39:38 C:\WINDOWS\bootstat.dat -->05/09/2007 10:39:25 C:\WINDOWS\setupact.log -->05/09/2007 10:37:47 C:\WINDOWS tbtlog.txt -->05/09/2007 10:33:16 C:\WINDOWS\SchedLgU.Txt -->05/09/2007 10:29:30 C:\WINDOWS soc.log -->04/09/2007 14:00:37 C:\WINDOWS\ocmsn.log -->04/09/2007 14:00:37 C:\WINDOWS\ocgen.log -->04/09/2007 14:00:37 C:\WINDOWS tdtcsetup.log -->04/09/2007 14:00:37 C:\WINDOWS\msgsocm.log -->04/09/2007 14:00:37 C:\WINDOWS\imsins.log -->04/09/2007 14:00:37 C:\WINDOWS\iis6.log -->04/09/2007 14:00:37 MD5 des fichiers sensibles tcpip.sys 9f4b36614a0fc234525ba224957de55c ndis.sys 558635d3af1c7546d26067d5d9b6959e null.sys 73c1e1f395918bc2c6dd67af7591a3ad svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\system 07/05/1998 11:04 52 736 hpsysdrv.exe 1 fichier(s) 52 736 octets 0 Rép(s) 78 286 286 848 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\system32 05/08/2004 13:00 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 78 286 282 752 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\WINDOWS\Downloaded Program Files 05/09/2007 10:36 . 05/09/2007 10:36 .. 23/11/2004 16:20 65 desktop.ini 25/07/2002 19:13 24 576 dwusplay.dll 25/07/2002 19:13 196 608 dwusplay.exe 21/05/2007 15:02 45 031 gpc2k_FR.ini 27/07/2004 17:48 323 584 isusweb.dll 08/08/2006 11:45 576 kavwebscan.inf 27/04/2007 07:33 144 QTPlugin.inf 14/02/2007 16:30 144 setup.inf 09/11/2006 15:36 5 019 swflash.inf 9 fichier(s) 595 747 octets Total des fichiers listés : 9 fichier(s) 595 747 octets 2 Rép(s) 78 286 282 752 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-05 11:09:11 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 800 - csrss.exe 856 - winlogon.exe 872 - kpf4gui.exe 916 - services.exe 928 - lsass.exe 1144 - svchost.exe 1240 - svchost.exe 1304 - svchost.exe 1460 - svchost.exe 1608 - spoolsv.exe 1744 - guard.exe 1776 - avgamsvr.exe 1852 - avgemc.exe 1992 - kpf4ss.exe 2424 - explorer.exe 2492 - kpf4gui.exe 2660 - atiptaxx.exe 2840 - avgcc.exe 2888 - avgas.exe 2920 - E_FATIADE.EXE 2932 - GoogleToolbarNo 3872 - cmd.exe Total number of processes = 23 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 tkrnlpa.exe 806E2000 - \WINDOWS\system32\hal.dll F79FC000 - \WINDOWS\system32\KDCOM.DLL F790C000 - \WINDOWS\system32\BOOTVID.dll F73CC000 - ACPI.sys F79FE000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F73BB000 - pci.sys F74FC000 - isapnp.sys F750C000 - ohci1394.sys F751C000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS F7AC4000 - pciide.sys F777C000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F7A00000 - viaide.sys F7A02000 - intelide.sys F752C000 - MountMgr.sys F739C000 - ftdisk.sys F7784000 - PartMgr.sys F753C000 - VolSnap.sys F7384000 - atapi.sys F754C000 - disk.sys F755C000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F7364000 - fltMgr.sys F7352000 - sr.sys F778C000 - PxHelp20.sys F733B000 - KSecDD.sys F72AE000 - Ntfs.sys F7281000 - NDIS.sys F756C000 - vvoice.sys F721F000 - vpctcom.sys F718B000 - vmodem.sys F7170000 - Mup.sys F75DC000 - \SystemRoot\system32\DRIVERS ic1394.sys F76CC000 - \SystemRoot\system32\DRIVERS\intelppm.sys F6FDA000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys F6FC6000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F7854000 - \SystemRoot\system32\DRIVERS\usbohci.sys F6FA3000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F785C000 - \SystemRoot\system32\DRIVERS\usbehci.sys F76DC000 - \SystemRoot\system32\DRIVERS\imapi.sys F76EC000 - \SystemRoot\system32\DRIVERS\cdrom.sys F76FC000 - \SystemRoot\system32\DRIVERS edbook.sys F6F80000 - \SystemRoot\system32\DRIVERS\ks.sys F6F5B000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys F7864000 - \SystemRoot\system32\DRIVERS\fdc.sys F6F47000 - \SystemRoot\system32\DRIVERS\parport.sys F770C000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F786C000 - \SystemRoot\system32\DRIVERS\PS2.sys F7874000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F787C000 - \SystemRoot\system32\DRIVERS\mouclass.sys F6F2B000 - \SystemRoot\system32\DRIVERS\ptserlp.sys F7884000 - \SystemRoot\System32\Drivers\Modem.SYS F6F18000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys F7C32000 - \SystemRoot\system32\DRIVERS\audstub.sys F771C000 - \SystemRoot\system32\DRIVERS asl2tp.sys F79AC000 - \SystemRoot\system32\DRIVERS distapi.sys F6E61000 - \SystemRoot\system32\DRIVERS diswan.sys F772C000 - \SystemRoot\system32\DRIVERS aspppoe.sys F773C000 - \SystemRoot\system32\DRIVERS aspptp.sys F788C000 - \SystemRoot\system32\DRIVERS\TDI.SYS F6E50000 - \SystemRoot\system32\DRIVERS\psched.sys F774C000 - \SystemRoot\system32\DRIVERS\msgpc.sys F7894000 - \SystemRoot\system32\DRIVERS\ptilink.sys F789C000 - \SystemRoot\system32\DRIVERS aspti.sys F775C000 - \SystemRoot\system32\DRIVERS ermdd.sys F7A0C000 - \SystemRoot\system32\DRIVERS\swenum.sys F6E1C000 - \SystemRoot\system32\DRIVERS\update.sys F79B8000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F776C000 - \SystemRoot\System32\Drivers\NDProxy.SYS F760C000 - \SystemRoot\system32\DRIVERS\usbhub.sys F7A0E000 - \SystemRoot\system32\DRIVERS\USBD.SYS F29DC000 - \SystemRoot\system32\drivers\RtkHDAud.sys F29BA000 - \SystemRoot\system32\drivers\portcls.sys F761C000 - \SystemRoot\system32\drivers\drmk.sys F7A12000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F7B79000 - \SystemRoot\System32\Drivers\Null.SYS F7A14000 - \SystemRoot\System32\Drivers\Beep.SYS F7BB8000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys F7BBB000 - \SystemRoot\System32\Drivers\avgclean.sys F78AC000 - \SystemRoot\System32\drivers\vga.sys F7A16000 - \SystemRoot\System32\Drivers\mnmdd.SYS F7A18000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F2811000 - \SystemRoot\system32\drivers\fwdrv.sys F78B4000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS F78BC000 - \SystemRoot\System32\Drivers\Msfs.SYS F78C4000 - \SystemRoot\System32\Drivers\Npfs.SYS F299A000 - \SystemRoot\system32\DRIVERS asacd.sys F27FE000 - \SystemRoot\system32\DRIVERS\ipsec.sys F27A6000 - \SystemRoot\system32\DRIVERS cpip.sys F2785000 - \SystemRoot\system32\DRIVERS\ipnat.sys F275D000 - \SystemRoot\system32\DRIVERS etbt.sys F273B000 - \SystemRoot\System32\drivers\afd.sys F763C000 - \SystemRoot\system32\DRIVERS etbios.sys F764C000 - \SystemRoot\system32\DRIVERS\wanarp.sys F2710000 - \SystemRoot\system32\DRIVERS dbss.sys F2679000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F2668000 - \SystemRoot\system32\drivers\khips.sys F765C000 - \SystemRoot\system32\DRIVERS\arp1394.sys F766C000 - \SystemRoot\System32\Drivers\Fips.SYS F259F000 - \SystemRoot\System32\Drivers\avg7core.sys F78E4000 - \SystemRoot\system32\DRIVERS\usbccgp.sys F296E000 - \SystemRoot\system32\DRIVERS\usbscan.sys F78F4000 - \SystemRoot\system32\DRIVERS\usbprint.sys F7A1E000 - \SystemRoot\System32\Drivers\avg7rsw.sys F7904000 - \SystemRoot\System32\Drivers\avg7rsxp.sys F257C000 - \SystemRoot\System32\Drivers\Fastfat.SYS F7C11000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys BF800000 - \SystemRoot\System32\win32k.sys F294E000 - \SystemRoot\System32\drivers\Dxapi.sys F779C000 - \SystemRoot\System32\watchdog.sys BF9C2000 - \SystemRoot\System32\drivers\dxg.sys F7AF2000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D4000 - \SystemRoot\System32\ati2dvag.dll BFA13000 - \SystemRoot\System32\ati2cqag.dll BFA4C000 - \SystemRoot\System32\atikvmag.dll BFA81000 - \SystemRoot\System32\ati3duag.dll BFCCE000 - \SystemRoot\System32\ativvaxx.dll F0350000 - \SystemRoot\system32\DRIVERS disuio.sys F00DF000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F7A46000 - \SystemRoot\System32\Drivers\avgtdi.sys EFEBE000 - \SystemRoot\System32\Drivers\HTTP.sys EFE1C000 - \SystemRoot\system32\DRIVERS\srv.sys BFFA0000 - \SystemRoot\System32\ATMFD.DLL EFABF000 - \SystemRoot\system32\drivers\wdmaud.sys EFC4C000 - \SystemRoot\system32\drivers\sysaudio.sys EF941000 - \SystemRoot\System32\Drivers\Cdfs.SYS F7B5A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 126 Liste des programmes installes a-squared Free 2.0 Ad-Aware SE Personal Adobe Flash Player 9 ActiveX Adobe Photoshop 7.0 Adobe Reader 7.0 - Français Adobe Shockwave Player Archiveur WinRAR ATI Display Driver AVG 7.5 AVG Anti-Spyware 7.5 Azureus CCleaner (remove only) CDex extraction audio Compaq Multimedia Keyboard Software CorelDRAW Graphics Suite 12 Correctif Windows XP - KB873339 Correctif Windows XP - KB883667 Correctif Windows XP - KB885250 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB885884 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB887742 Correctif Windows XP - KB888113 Correctif Windows XP - KB888239 Correctif Windows XP - KB888302 Correctif Windows XP - KB890175 Correctif Windows XP - KB890859 Correctif Windows XP - KB891781 Correctif Windows XP - KB892050 Correctif Windows XP - KB893066 eMule EPSON Logiciel imprimante EPSON Scan EPSON Scan Assistant FileZilla (remove only) Google Earth Google Toolbar for Internet Explorer High Definition Audio - KB888111 HijackThis 1.99.1 Hijackthis Version Française HP Software Update HpSdpAppCoreApp InterVideo WinDVD Player InterVideo WinDVD Player Java(TM) 6 Update 2 jv16 PowerTools 1.3 Kaspersky Online Scanner Lecteur Windows Media 10 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB886903) Microsoft Office PowerPoint Viewer 2003 Microsoft Office XP Small Business Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734) Mise à jour de sécurité pour Step by Step Interactive Training (KB898458) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896422) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896424) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB896688) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB904706) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911567) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB912812) Mise à jour de sécurité pour Windows XP (KB912919) Mise à jour de sécurité pour Windows XP (KB913446) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB916281) Mise à jour de sécurité pour Windows XP (KB917159) Mise à jour de sécurité pour Windows XP (KB917344) Mise à jour de sécurité pour Windows XP (KB917422) Mise à jour de sécurité pour Windows XP (KB917953) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB918899) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920214) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB921398) Mise à jour de sécurité pour Windows XP (KB921883) Mise à jour de sécurité pour Windows XP (KB922616) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB908531) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB911280) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) MRU-Blaster v1.5 (Database 3/28/2004) Navilog1 Version 2.0.9 Neverwinter Nights Panneau de contrôle ATI PC-Doctor 5 for Windows PDFCreator PDFCreator Toolbar Realtek High Definition Audio Driver SAGEM F@st 800-840 SAMSUNG CDMA Modem Driver Set SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio Samsung PC Studio Sonic MyDVD Plus Sonic RecordNow Audio Sonic RecordNow Copy Sonic RecordNow Data Sonic Update Manager SoulSeek Client 156c Spybot - Search & Destroy 1.4 Sunbelt Personal Firewall WebFldrs XP Windows Genuine Advantage Notifications (KB905474) Windows Genuine Advantage Validation Tool (KB892130) Windows Installer 3.1 (KB893803) Windows Media Format Runtime WinHTTrack Website Copier 3.33 xp-AntiSpy 3.96-2 Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files 05/09/2007 00:23 . 05/09/2007 00:23 .. 21/05/2006 14:12 Adobe 17/07/2007 18:01 a-squared Free 04/01/2006 18:00 ATI Technologies 15/05/2007 21:50 Azureus 17/07/2007 16:28 CCleaner 27/08/2007 14:50 CDex_170b2 04/01/2006 18:00 ComPlus Applications 26/04/2006 15:51 Corel 22/06/2007 10:01 DivX 27/08/2007 18:56 eMule 27/04/2006 00:09 epson 05/09/2007 00:23 Fichiers communs 21/05/2006 21:57 FileZilla 07/02/2007 19:32 Google 22/06/2007 10:16 Grisoft 04/01/2006 18:01 Hewlett-Packard 05/09/2007 10:44 Hijackthis Version Française 04/01/2006 18:02 Hp 24/06/2006 12:14 Intel Desktop Board 10/08/2006 10:00 Internet Explorer 04/01/2006 18:02 InterVideo 21/05/2006 14:02 IrfanView 20/07/2007 14:31 Java 26/01/2007 23:40 jv16 PowerTools 20/07/2007 14:45 Kerio 17/07/2007 16:18 Lavasoft 04/09/2007 14:02 Macromedia 28/01/2007 12:31 Messenger 04/01/2006 18:02 microsoft frontpage 04/12/2006 14:36 Microsoft Office 04/01/2006 18:03 Movie Maker 31/08/2006 14:55 Mozilla Firefox 17/07/2007 15:56 MRU-Blaster 04/01/2006 18:03 MSN 04/01/2006 18:03 MSN Gaming Zone 05/09/2007 00:45 Navilog1 04/01/2006 18:03 NetMeeting 24/11/2006 19:58 Neverwinter Nights 07/08/2006 23:40 Outlook Express 24/06/2006 00:09 PC-Doctor 5 for Windows 25/04/2007 21:55 PDFCreator 25/04/2007 21:55 PDFCreator Toolbar 10/07/2007 22:22 QuickTime 24/05/2007 19:06 Samsung 02/05/2006 00:18 Services en ligne 02/05/2006 00:10 Sonic 28/06/2007 13:43 Soulseek 04/09/2007 14:17 Spybot - Search & Destroy 20/07/2007 14:54 Sunbelt Software 15/05/2007 17:47 SWiSHmax 04/01/2006 18:05 Uninstall Information 07/08/2006 23:40 Wanadoo 16/05/2006 11:31 Windows Media Player 04/01/2006 18:05 Windows NT 30/05/2006 22:31 WinHTTrack 21/05/2006 13:29 WinRAR 04/01/2006 18:05 xerox 28/01/2007 12:15 xp-AntiSpy 0 fichier(s) 0 octets 60 Rép(s) 78 286 225 408 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files\fichiers communs 05/09/2007 00:23 . 05/09/2007 00:23 .. 21/05/2006 14:12 Adobe 04/07/2007 15:07 AVSMedia 26/04/2006 15:51 Corel 28/04/2006 10:54 Designer 27/04/2006 00:08 InstallShield 04/01/2006 18:00 Java 04/09/2007 14:02 Macromedia 04/07/2007 15:06 Microsoft Shared 04/01/2006 18:00 MSSoap 04/01/2006 18:00 ODBC 28/04/2006 15:14 Real 04/01/2006 18:00 Roxio Shared 04/01/2006 18:01 Sonic Shared 04/01/2006 18:01 SpeechEngines 16/05/2006 11:28 System 04/01/2006 18:01 TiVo Shared 20/05/2006 22:58 Vbox 0 fichier(s) 0 octets 19 Rép(s) 78 286 225 408 octets libres Le volume dans le lecteur C s'appelle PRESARIO Le numéro de série du volume est 71F8-86C3 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 28/04/2006 10:54 . 28/04/2006 10:54 .. 28/04/2006 10:54 1033 28/04/2006 10:54 1036 15/02/2001 05:45 1 318 912 MSONSEXT.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 06/08/2000 09:04 401 462 MSVCP60.DLL 22/01/2001 03:25 69 632 PKMAXCTL.DLL 22/01/2001 03:25 872 448 PKMCDO.DLL 22/01/2001 03:25 159 744 PKMCORE.DLL 07/02/2001 09:59 106 496 PKMFORMS.DLL 12/02/2001 04:03 684 032 PKMRES.DLL 22/01/2001 03:25 28 672 PKMSSTLB.DLL 22/01/2001 03:25 40 960 PKMTEMPL.DLL 22/01/2001 03:25 24 576 PKMTRACE.DLL 22/01/2001 03:25 86 016 PKMWS.DLL 22/01/2001 03:25 237 568 PROMDEMO.DLL 22/01/2001 03:25 184 320 SECMGR.DLL 22/01/2001 03:25 323 584 VAIDDMGR.DLL 22/01/2001 03:25 32 768 VAIMEM.DLL 17 fichier(s) 4 821 160 octets 4 Rép(s) 78 286 225 408 octets libres c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\Navilog1.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\OTMoveIt.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\VundoFix.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\clean\pskill.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\USB\avg75free_446a965.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\USB\Driver graveur\530A_21g.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\USB\Encoder 9 fr pour XP et 2000\WMEncoder.exe c:\Documents and Settings\Compaq_Propriétaire\Bureau\USB\Liquid\Liquid_Edition_DVD-Player_compatibility_Hotfix_Setup_BETA.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Nouveau dossier\Numark Cue v4.1-BEAN\patch.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Nouveau dossier\Numark Cue v4.1-BEAN\Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Jeux\pandocreon_carta-genius-5.2.0-windows-install.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Maman\FreeDial_Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Perso\Maman\setupvoipstunt.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AdbeRdr705_fra_full.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avg75free_446a965.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\avgas-setup-7.5.1.43.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AVSVideoEditor.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AVSVideoReMaker.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\camstudio_camstudio_2.0_francais_10618.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\cdex_170b2_enu_nonunicode.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\dBpowerAMP-codec-flac.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\dBpowerAMP-codec-mp4.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\eMule0.46c-Installer.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FileZilla_2_2_23a_setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Gordian.Knot.Codec.Pack.1.9.Setup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\GordianKnot.RipPack.0.35.0.Setup.2.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\httrack-3.33.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\JawsPDFCreatorFr.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\klcodec325f.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\PDFCreator-0_9_3_GPLGhostscript.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\PNYUSB_Win98.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\WM9Codecs.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AIDA32 - Enterprise System Information\aida32.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\AIDA32 - Enterprise System Information\unins000.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Driver graveur\530A_21g.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Encoder 9 fr pour XP et 2000\WMEncoder.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\a2FreeSetup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\aawsepersonal.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\ccsetup140.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\ComboFix.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\fsbl.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\kerio-kpf-4.2.2-911-win.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\mrublastersetup.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\Navilog1.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\spybotsd14.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\VirtumundoBeGone.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\FIX\VundoFix.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Programmes\Liquid\Liquid_Edition_DVD-Player_compatibility_Hotfix_Setup_BETA.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\RDD\ebon34\EBoN.exe c:\Documents and Settings\Compaq_Propriétaire\Mes documents\Voyages\echo31install.exe c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll c:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7upd\backup\avgcore.dll c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll ****** Fin du rapport DiagHelp A+

afideg · Answer

Bonjour Lyonnais & merci pour le coup de main. Bonjour Tinihau, 1°- Je ne comprends pas : - post# 42 le log "clean" donne : tentative de suppression de C:\WINDOWS\system32\mcrh.tmp ( ce qui signifie que le fichier mcrh.tmp est supprimé )==> sinon il mettrait "la tentative a échoué". - or, au post# 24 j'écrivais ceci : « Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, C:\WINDOWS\System32\mcrh.tmp ==> supprimé par "clean" ==> manque d'information » . ==> c'est trop loin, je ne sais pas plus pourquoi j'écrivais « mcrh.tmp ==> supprimé par "clean" ==> manque d'information » - or le log de cette analyse chez VirusTotal posté ce mercredi 5 septembre 2007 non seulement prouve que ce fichier mcrh.tmp existe bel et bien, mais elle ne signale aucune infection ! SVP, vas voir dans le répertoire "sytème32" si tu trouves encore ce fichier en gras C:\WINDOWS\System32\mcrh.tmp 2°- Il reste encore des traces de l'ancienne version JAVA dans le PC ( contenant une faille ? ): C:\WINDOWS\System32\javaws.exe -->12/07/2007 02:22:38 C:\WINDOWS\System32\javaw.exe -->12/07/2007 01:22:04 C:\WINDOWS\System32\java.exe -->12/07/2007 01:22:00 C:\WINDOWS\System32\jupdate-1.5.0_10-b03.log -->08/01/2007 10:15:44 C:\WINDOWS\System32\jupdate-1.5.0_09-b03.log -->09/11/2006 11:40:52 - Commence par vider la corbeille . - Vas dans le répertoire "système32" et supprime ces fichiers en gras ( assure-toi d'avoir encore accès aux dossiers/fichiers cachés ==> relire post# 24 ). - ATTENTION : Avant de supprimer quoi que ce soit, amène le pointeur de la souris sur le fichier, et sur la bulle qui apparaît, vérifie bien la date de création du fichier (pour les trois premiers, il doit s'agir du 12/07/2007). - NOTE: Ne vide pas de la corbeille tout de suite ==> Crée un nouveau dossier sur le bureau ( Clic-droit dans un espace vide, puis "Nouveau", puis "Dossier" et dénomme-le "fichiers JAVA". Avec le pointeur de la souris, tu y feras glisser les trois premiers fichiers depuis la corbeille ouverte. Tu jetteras les deux derniers fichiers.txt " jupdate-1.5.0_10-b03.log" et "jupdate-1.5.0_09-b03.log"hors de ta corbeille. 3°- Lis ceci et applique: Nettoyage des fichiers inutiles a)- Dans la barre de menus Internet Explorer ( au-dessus ), clic sur "Outils" > "Options Internet" •- Choisir l'onglet "Général" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]. Fais la même chose avec [supprimer les fichiers... ]. Aide visuelle • - Choisir l'onglet "Confidentialité" et positionner les réglages au moins sur "Moyen". - Utiliser le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie". b)- Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC. c)- Lire ceci : < https://kerio.probb.fr/t161-qu-est-ce-qu-un-cookie-tracking-cookie > Merci et bonne journée Al. ( peu de temps libre pour forum )

Tinihau · Answer

Salut Al, et merci de ta réponse.
Alors voilà :
1°) Après vérification, le fichier mcrh.tmp n'existe pas dans system32

2°) Tous les fichiers java cités dans ton post sont datés du 20.07.07 à l'exception d'un seul qui se nomme javacpl qui lui est du 12. Je n'ai donc rien supprimé à part celui-ci (dans un dossier sur le bureau). Pour les fichiers .txt je les ai virés.

3°) Correction sur les Options Internet OK, cookies et fichiers temp supprimés

Merci, à bientôt

Tinihau

afideg · Answer

Re,

Le fichier javacpl.cpl  qui lui est du 12/07/2007 n'est pas repris dans ma liste ( je ne le supprimerais pas ).
S'il est dans le nouveau dossier du bureau, fais-lui faire le chemin inverse ( après avoir ouvert le répertoire en C:\WINDOWS\système32\
Clic-droit dessus > ouvrir avec "panneau de configuration" ==> et tu verras ce qu'il contient > onglet "général" > "À propos de"  ==> est-ce bien "Version 6"  ?


Bonne continuation

Al.

Tinihau · Answer

Ensuite c'est terminé ?

afideg · Answer

Oui

[XP] Problème DriveCleaner, Winantivirus pro.

48 réponses

Discussions similaires