Infection de Trojans

Résolu

Bronksman -
FillPCA Messages postés 2264 Statut Contributeur sécurité - 8 nov. 2007 à 07:41

Bonjour,

J'ai été atteint d'un trojan dernièrement. Je dois vous avouer que plusieurs différents types ont été détecté suite à mon auto-détection de mon antivirus. Par contre il y a quelques-uns qui on été supprimé partiellement selon ce qui m'est rapporté.

J'ai fais des recherches sur symantec pour trojan.Srizbi (un de ceux downloader) et fait ce que ça disait mais pas certain que tout est correct. J'ai trouvé votre site par hazard. J'espère que quelqu'un pourra m'aider afin de vérifier si tout est correct ou non sur mon PC.

J'ai lu un peu les différents problèmes retrouvé ici sur votre site et j'ai tenté avec ewido un scan online et ça m'a donné d'autre trojan qui non pas été ressorti avec mon antivirus et en plus il n'a pas détecté ceux que mon antivirus avait détecté.

Je vous affiche le log de Hijackthis et si possible j'attends impatient une réponse à mon sujet.

Logfile of HijackThis v1.99.1
Scan saved at 16:48:35, on 2007-11-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\ClipPlus36\ClipPlus36.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\HijackThis\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Sites%20Web/01mes%20liens/mesliens.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} - C:\WINDOWS\system32\cmcfg3.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [\\MAISON-ENFANTS\EPSON Stylus CX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE /P43 "\\MAISON-ENFANTS\EPSON Stylus CX3800 Series" /O6 "USB001" /M "Stylus CX3800"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ClipPlus36.exe.lnk = D:\ClipPlus36\ClipPlus36.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Iqxtccd - C:\WINDOWS\SYSTEM32\iqxtccd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Microsoft Internet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Afficher la suite

A voir également:

Infection de Trojans
Infection ad.doubleclick.net ✓ - Forum Virus
Infection FileRepMetagen - Forum Virus
Infection WonderShare ✓ - Forum Virus
Infection winrmsrv ✓ - Forum Virus
Infection fahcore_a8 ✓ - Forum Virus

72 réponses

Réponse 21 / 72

Bronksman Messages postés 45 Statut Membre

Je dois t'aviser que mon systeme restore a été fermé lors de mes première tentative avec ce que j'avais trouvé sur Symantec avant de trouver votre site.

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,

Aïe ! On trouve souvent ce conseil et c'est une connerie. Il vaut mieux une restauration infectée que pas de restauration du tout. J'espère que la sauvegarde Erunt fonctionnera.

FillPCA

Réponse 22 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,
Oui, c'est bien celui-là en effet avec SDfix.

FillPCA

Réponse 23 / 72

Bronksman Messages postés 45 Statut Membre

C'est un backup du registre et ca redémarre........loggin in .....image du Bureau......souris active .....faut croire qu'il ne sait plus quoi faire cette ordi ! @#$@#@?@#$

Patience Bronksman... Tu as des experts ici pour te guider!!

Bon je tente un redémarrage sans échec??

Réponse 24 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,
Ca veut dire que la restauration du registre a échoué ?

Tente une réparation de XP avec le CD : https://forums.cnetfrance.fr

FillPCA

Bronksman Messages postés 45 Statut Membre

Alors je vais tenter une réparation mais sur le 2ième reparer et je reviens aussitot terminé.

Merci beaucoup pour ce temps précieux.
Bonne soirée et à plus tard

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 72

Bronksman Messages postés 45 Statut Membre

Je viens d'avoir une erreur lors de la réparation.

Sub-component COM+ raised an exception while processing the OC_COMPLETE_INSTALLATION setup message.

d:\nt\com\com1x\srcVcomplussetup\comsetup\csetuputil.cpp (line 3406)

ERROR CODE=0x8007007f
The specified procedure could not be found.
Failed to load the library C:Windows\system32\catsrv.dll

Il reste encore une 15 minutes pour l'installation.
Tout va bon train à date.

Crois-tu que cette erreur va causer des problèmes?

Réponse 26 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,

Je ne sais pas trop. J'espère que ça va passer. Je décroche pour ce soir car il est tard.

FillPCA

Réponse 27 / 72

Bronksman Messages postés 45 Statut Membre

Bonne nuit !

C'est terminé.

L'installation a terminé. Je te reviens demain. En attendant je vais posté un rapport Hijackthis.

Réponse 28 / 72

Bronksman Messages postés 45 Statut Membre

Installation terminé...Déjà il y a des trace de trojan. Popup qui apparait.

Voici tel que promis mon rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:02:10, on 2007-11-05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\ClipPlus36\ClipPlus36.exe
F:\HijackThis\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Sites%20Web/01mes%20liens/mesliens.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} - C:\WINDOWS\system32\cmcfg3.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [\\MAISON-ENFANTS\EPSON Stylus CX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE /P43 "\\MAISON-ENFANTS\EPSON Stylus CX3800 Series" /O6 "USB001" /M "Stylus CX3800"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ClipPlus36.exe.lnk = D:\ClipPlus36\ClipPlus36.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Iqxtccd - C:\WINDOWS\SYSTEM32\Iqxtccd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Microsoft Internet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

En attendant de vos nouvelles !

Bonne nuit!

Réponse 29 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Bonjour,

1/ Le pack SP2 semble avoir sauté au cours de la réparation. Commence par télécharger un firewall car il semble que symantec, installé sur ta machine ne comporte pas cette fonctionnalité.
Je te conseille Comodo ou Zone alarm. Voir ici : https://pages.perso.orange.fr/pages-perso-error&r=403

2/ Edite ensuite un rapport Diaghelp, un rapport SREng et un nouveau rapport Hijackthis pour qu'on puisse poursuivre le nettoyage en ayant tous les éléments en main.

FillPCA

Réponse 30 / 72

Bronksman Messages postés 45 Statut Membre

Bonjour FillPCA,

Pas un bon matin pour moi.

J'ai lu tes conseille. J'ai voulu installé SP2 et le toutt arrive à un moment donné ou le système me donne une erreur comme celle-ci:

Setup Alert
Fake setup call himself instead original 'setup.exe' - Setup Abort !

Ceci fait que lorsque je clique sur OK de cette boite d'alerte, le systèeme redémarre et recommence le setup. Pas même moyen de redémarrer en mode sans échec car il tente le setup là aussi et donne la même boite alerte.

Y-a-t-il une facon de briser cette boucle?

Réponse 31 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Bonjour,

Aïe ! On n'a pas de chance. Il ne fallait pas ré-installer le SP2. Jamais sur un système infecté. Je voulais simplement que tu installes un firewall.
Je crois qu'il va falloir retenter une réparation avec le CD.
On accumule les malchances.

FillPCA

Réponse 32 / 72

Bronksman Messages postés 45 Statut Membre

Re-bonjour

Je vais maintenant installer le firewall...lequel est mieux...(Je sais, je sais ca dépend des gout mais enfin moi je ne recherche pas le gout mais la qualité d'action. J'ai lu en gros ce que sa disait sur les review et un ne semble pas meilleur que l'autre) L'avis d'un expert me dit quoi? Zonealarm?
Peut-on installer 2 firewall en même temps ou est-ce que sa va occasionner des problèmes?

Je vais trouver ces logiciels et reviens dans quelques instant voir pour plus d'info de votre part!
À bientot !

Réponse 33 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,
J'utilise Comodo et j'en suis très content, même s'il est un peu plus compliqué à paramétrer, mais tu as un tuto très bien fait sur le lien que je t'ai donné (Regarde à Comodo sur la page).

Edite ensuite les trois rapports demandés (SREng, Diaghelp et Hijackthis) après l'installation du firewall.

FillPCA

Réponse 34 / 72

Bronksman Messages postés 45 Statut Membre

Voici mon rapport SRENG

[CODE]

2007-11-06,12:30:00

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional (Build 2600) - Administrative User - Completed Functions Allowed

Follow item(s) have been choosed:
All Boot Items (Including Registry, Startup Folders, Services and so on)
Browser Add-ons
Runing Processes (Including process model information)
File Associations
Winsock Provider
Autorun.Inf
HOSTS File
Process Privileges Scan

Boot Items
Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe> [(Verified)Microsoft Windows XP Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<\\MAISON-ENFANTS\EPSON Stylus CX3800 Series><C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE /P43 "\\MAISON-ENFANTS\EPSON Stylus CX3800 Series" /O6 "USB001" /M "Stylus CX3800"> [N/A]
<ccApp><"C:\Program Files\Common Files\Symantec Shared\ccApp.exe"> [(Verified)Symantec Corporation]
<vptray><C:\PROGRA~1\SYMANT~1\VPTray.exe> [(Verified)Symantec Corporation]
<SunJavaUpdateSched><"C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"> [(Verified)"Sun Microsystems, Inc."]
<QuickTime Task><"F:\Program Files\QuickTime\qttask.exe" -atboottime> [Apple Inc.]
<KernelFaultCheck><> [N/A]
<COMODO Firewall Pro><"C:\Program Files\Comodo\Firewall\CPF.exe" /background> [(Verified)Comodo CA Limited]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows XP Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Iqxtccd]
<WinlogonNotify: Iqxtccd><Iqxtccd.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon]
<WinlogonNotify: NavLogon><C:\WINDOWS\system32\NavLogon.dll> [(Verified)Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
<Microsoft Windows Media Player 6.4><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4b218e3e-bc98-4770-93d3-2731b9329278}]
<Internet Explorer><%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection MarketplaceLinkInstall 896 %systemroot%\inf\ie.inf> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.0><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player 8><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<Address Book 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]

==================================
Startup Folders
[Acrobat Assistant]
<C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Acrobat Assistant.lnk --> F:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\acrotray.exe [Adobe Systems Inc.]><N>
[Microsoft Office]
<C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk --> C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [Microsoft Corporation]><N>
[ClipPlus36.exe]
<C:\Documents and Settings\Bronksman\Start Menu\Programs\Startup\ClipPlus36.exe.lnk --> D:\CLIPPL~1\CLIPPL~1.EXE [Written by Matt English, menglish@teleport.com]><N>

==================================
Services
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
<C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[Symantec Event Manager / ccEvtMgr][Running/Auto Start]
<"C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"><Symantec Corporation>
[Symantec Settings Manager / ccSetMgr][Running/Auto Start]
<"C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"><Symantec Corporation>
[Comodo Application Agent / CmdAgent][Running/Auto Start]
<C:\Program Files\Comodo\Firewall\cmdagent.exe><COMODO>
[Symantec AntiVirus Definition Watcher / DefWatch][Running/Auto Start]
<"C:\Program Files\Symantec AntiVirus\DefWatch.exe"><Symantec Corporation>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[HTTP SSL / HTTPFilter][Stopped/Manual Start]
<C:\WINDOWS\System32\svchost.exe -k HTTPFilter-->%SystemRoot%\System32\w3ssl.dll><Microsoft Corporation>
[LiveUpdate / LiveUpdate][Stopped/Manual Start]
<"C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"><Symantec Corporation>
[Microsoft Internet Service / Microsoft Internet Service][Stopped/Auto Start]
<C:\WINDOWS\system32\_svchost.exe -A><N/A>
[SavRoam / SavRoam][Stopped/Manual Start]
<"C:\Program Files\Symantec AntiVirus\SavRoam.exe"><symantec>
[Symantec Network Drivers Service / SNDSrvc][Stopped/Manual Start]
<"C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe"><Symantec Corporation>
[Symantec SPBBCSvc / SPBBCSvc][Stopped/Manual Start]
<"C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe"><Symantec Corporation>
[Symantec AntiVirus / Symantec AntiVirus][Running/Auto Start]
<"C:\Program Files\Symantec AntiVirus\Rtvscan.exe"><Symantec Corporation>
[Network Provisioning Service / xmlprov][Stopped/Manual Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\xmlprov.dll><Microsoft Corporation>

==================================
Drivers
[ati2mtag / ati2mtag][Running/Manual Start]
<system32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
[atimtag / atimtag][Stopped/Manual Start]
<System32\DRIVERS\atimtag.sys><ATI Technologies Inc.>
[Comodo Application Engine / CmdMon][Running/System Start]
<System32\DRIVERS\cmdmon.sys><Comodo Research Lab., Inc.>
[Symantec Eraser Control driver / eeCtrl][Running/System Start]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[3Com 3C90X-BC Family PCI EtherLink Adapter / EL90XBC][Running/Manual Start]
<System32\DRIVERS\el90xbc5.sys><3Com Corporation>
[EraserUtilDrv10733 / EraserUtilDrv10733][Stopped/Manual Start]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv10733.sys><N/A>
[EraserUtilRebootDrv / EraserUtilRebootDrv][Running/Manual Start]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys><Symantec Corporation>
[Creative AudioPCI (ES1371,ES1373) (WDM) / es1371][Running/Manual Start]
<system32\drivers\es1371mp.sys><Creative Technology Ltd.>
[FltMgr / FltMgr][Stopped/Boot Start]
<\SystemRoot\system32\DRIVERS\fltMgr.sys><Microsoft Corporation>
[Comodo Network Engine / Inspect][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\inspect.sys><COMODO>
[mckzmvlc / mckzmvlc][Running/Boot Start]
<\SystemRoot\system32\drivers\ubsxriif.dat><N/A>
[Microsoft System Management BIOS Driver / mssmbios][Stopped/Manual Start]
<system32\DRIVERS\mssmbios.sys><Microsoft Corporation>
[NAVENG / NAVENG][Running/Manual Start]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15][Running/Manual Start]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\navex15.sys><Symantec Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[SAVRT / SAVRT][Running/System Start]
<\??\C:\Program Files\Symantec AntiVirus\savrt.sys><Symantec Corporation>
[SAVRTPEL / SAVRTPEL][Running/System Start]
<\??\C:\Program Files\Symantec AntiVirus\Savrtpel.sys><Symantec Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<System32\DRIVERS\secdrv.sys><N/A>
[SPBBCDrv / SPBBCDrv][Stopped/Manual Start]
<\??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys><Symantec Corporation>
[SymEvent / SymEvent][Running/Manual Start]
<\??\C:\Program Files\Symantec\SYMEVENT.SYS><Symantec Corporation>
[SYMREDRV / SYMREDRV][Running/Manual Start]
<\SystemRoot\System32\Drivers\SYMREDRV.SYS><Symantec Corporation>
[SYMTDI / SYMTDI][Running/System Start]
<\SystemRoot\System32\Drivers\SYMTDI.SYS><Symantec Corporation>
[ultra / ultra][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ultra.sys><Promise Technology, Inc.>
[VIA AGP Filter / viaagp1][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\viaagp1.sys><VIA Technologies, Inc.>

==================================
Browser Add-ons
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx, >
[]
{1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} <C:\WINDOWS\system32\cmcfg3.dll, N/A>
[SSVHelper Class]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[Java Plug-in 1.6.0_02]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[&Radio]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, >
[ewidoOnlineScan Control]
{193C772A-87BE-4B19-A7BB-445B226FE9A1} <C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL, Anti-Malware Development a.s.>
[Java Plug-in 1.6.0_02]
{8AD9C840-044E-11D1-B3E9-00805F499D93} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[Java Plug-in 1.6.0_01]
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[Java Plug-in 1.6.0_02]
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[Java Plug-in 1.6.0_02]
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} <C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll, Sun Microsystems, Inc.>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx, >
[ewidoOnlineScan Control]
{193C772A-87BE-4B19-A7BB-445B226FE9A1} <C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL, Anti-Malware Development a.s.>
[]
{1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} <C:\WINDOWS\system32\cmcfg3.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\System32\msxml3.dll, N/A>
[SSVHelper Class]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} <C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll, Sun Microsystems, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[E&xport to Microsoft Excel]
<res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000, N/A>

==================================
Running Processes
[PID: 524 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 580 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 612 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\Ati2evxx.dll] [ATI Technologies Inc., 6.14.10.4123]
[C:\WINDOWS\system32\NavLogon.dll] [Symantec Corporation, 10.1.5.5000]
[C:\WINDOWS\system32\wdmaud.drv] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 656 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 668 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 840 / SYSTEM][C:\WINDOWS\system32\Ati2evxx.exe] [ATI Technologies Inc., 6.14.10.4123]
[C:\WINDOWS\system32\Ati2edxx.dll] [ATI Technologies, Inc., 6, 14, 10, 2499]
[PID: 852 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 928 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 984 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1368 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1416 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1520 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\system32\pdfports.dll] [Adobe Systems Incorporated., 5.0.000]
[F:\Program Files\Adobe\Acrobat 5.0\Distillr\adistres.dll] [N/A, ]
[PID: 1636 / Bronksman][C:\WINDOWS\system32\Ati2evxx.exe] [ATI Technologies Inc., 6.14.10.4123]
[C:\WINDOWS\system32\Ati2edxx.dll] [ATI Technologies, Inc., 6, 14, 10, 2499]
[PID: 1732 / Bronksman][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)]
[C:\WINDOWS\System32\wdmaud.drv] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\System32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1876 / SYSTEM][C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe] [Symantec Corporation, 104.0.11.1]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll] [Symantec Corporation, 104.0.11.1]
[PID: 260 / SYSTEM][C:\Program Files\Symantec AntiVirus\DefWatch.exe] [Symantec Corporation, 10.1.5.5000]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[PID: 300 / Bronksman][C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE] [SEIKO EPSON CORPORATION, 4.00]
[PID: 408 / Bronksman][C:\Program Files\Common Files\Symantec Shared\ccApp.exe] [Symantec Corporation, 104.0.11.1]
[C:\WINDOWS\System32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\System32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccSet.dll] [Symantec Corporation, 104.0.11.1]
[C:\PROGRA~1\COMMON~1\SYMANT~1\CCALERT.DLL] [Symantec Corporation, 104.0.11.1]
[C:\PROGRA~1\COMMON~1\SYMANT~1\CCEMLPXY.DLL] [Symantec Corporation, 104.0.11.1]
[C:\WINDOWS\System32\SYMREDIR.DLL] [Symantec Corporation, 6.0.4.402]
[C:\Program Files\Common Files\Symantec Shared\ccSetEvt.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccProSub.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Symantec AntiVirus\SavEmail.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Common Files\Symantec Shared\ccErrDsp.dll] [Symantec Corporation, 104.0.11.1]
[PID: 576 / Bronksman][C:\PROGRA~1\SYMANT~1\VPTray.exe] [Symantec Corporation, 10.1.5.5000]
[C:\WINDOWS\System32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\System32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Symantec AntiVirus\SAVRT32.DLL] [Symantec Corporation, 9.7.2.3]
[C:\Program Files\Common Files\Symantec Shared\ccSetEvt.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccProSub.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccAlert.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccSet.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Symantec AntiVirus\Cliscan.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Symantec AntiVirus\NAVNTUTL.DLL] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Symantec AntiVirus\Cliproxy.dll] [Symantec Corporation, 10.1.5.5000]
[PID: 900 / Bronksman][C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe] [Sun Microsystems, Inc., 6.0.20.6]
[PID: 772 / SYSTEM][C:\Program Files\Symantec AntiVirus\Rtvscan.exe] [Symantec Corporation, 10.1.5.5000]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\system32\CBA.DLL] [LANDesk Software Ltd., 6.12.0.142 E]
[C:\WINDOWS\system32\MsgSys.dll] [LANDesk Software Ltd., 6.12.0.142 E]
[C:\WINDOWS\system32\NTS.dll] [LANDesk Software Ltd., 6.12.0.142 E]
[C:\WINDOWS\system32\PDS.DLL] [LANDesk Software Ltd., 6.12.0.142 E]
[C:\Program Files\Symantec AntiVirus\NAVLU.dll] [Symantec Corporation, 10.1.5.5000]
[C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Symantec AntiVirus\I2ldvp3.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Symantec AntiVirus\NAVNTUTL.DLL] [Symantec Corporation, 10.1.5.5000]
[c:\program files\common files\symantec shared\ssc\ScsComms.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccDec.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\decsdk.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2ID.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2Zip.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2SS.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2GZIP.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2CAB.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2LHA.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2ARJ.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2TNEF.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2LZ.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2AMG.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2RAR.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2TAR.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2RTF.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\Decomposers\Dec2Text.dll] [Symantec Corporation, 3.02.14.10]
[C:\Program Files\Common Files\Symantec Shared\ccScan.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ecmldr32.DLL] [Symantec Corporation, 51.3.0.11]
[C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\ccEraser.dll] [Symantec Corporation, 107.3.3.4]
[C:\Program Files\Symantec AntiVirus\DefUtDCD.dll] [Symantec Corporation, 3.1.13a.0]
[C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\ecmsvr32.dll] [Symantec Corporation, 71.3.0.25]
[C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\NAVEX32a.DLL] [Symantec Corporation, 20071.3.0.24]
[C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\NAVENG32.DLL] [Symantec Corporation, 20071.3.0.24]
[C:\Program Files\Symantec AntiVirus\SAVRT32.DLL] [Symantec Corporation, 9.7.2.3]
[C:\Program Files\Symantec AntiVirus\IMail.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Symantec AntiVirus\NotesExt.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Symantec AntiVirus\vpmsece4.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Symantec AntiVirus\SymProtectStorage.dll] [Symantec Corporation, 10.1.5.5000]
[C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCEvt.dll] [Symantec Corporation, 2.2.0.7]
[PID: 1632 / Bronksman][C:\WINDOWS\System32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1708 / Bronksman][F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe] [Adobe Systems Inc., 5, 0, 0, 0]
[PID: 1836 / Bronksman][D:\ClipPlus36\ClipPlus36.exe] [Written by Matt English, menglish@teleport.com, 3.06]
[C:\WINDOWS\System32\MSVBVM50.DLL] [Microsoft Corporation, 05.02.8244 (SP2)]
[PID: 1364 / SYSTEM][C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe] [Symantec Corporation, 104.0.11.1]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Symantec Shared\ccL40.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll] [Symantec Corporation, 104.0.11.1]
[C:\Program Files\Common Files\Symantec Shared\ccSet.dll] [Symantec Corporation, 104.0.11.1]
[C:\PROGRA~1\COMMON~1\SYMANT~1\SPBBC\SPBBCEVT.DLL] [Symantec Corporation, 2.2.0.7]
[C:\PROGRA~1\COMMON~1\SYMANT~1\CCSETEVT.DLL] [Symantec Corporation, 104.0.11.1]
[PID: 3072 / Bronksman][C:\Documents and Settings\Bronksman\Desktop\sreng2\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
[C:\Documents and Settings\Bronksman\Desktop\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]

==================================
File Associations
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock Provider
N/A

==================================
Autorun.Inf
N/A

==================================
HOSTS File
127.0.0.1 localhost

==================================
Process Privileges Scan
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 300, C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATIACA.EXE]
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 1708, F:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE]
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 1836, D:\CLIPPLUS36\CLIPPLUS36.EXE]

==================================
API HOOK
Entrypoint Error: NtCreateProcess (Dangerous Level: High, Hooked by Module: 0x015706EC)
Entrypoint Error: NtCreateProcessEx (Dangerous Level: High, Hooked by Module: 0x01570714)
Entrypoint Error: NtCreateThread (Dangerous Level: High, Hooked by Module: 0x015706C4)
Entrypoint Error: NtTerminateProcess (Dangerous Level: High, Hooked by Module: 0x0157073C)
Entrypoint Error: ZwCreateProcess (Dangerous Level: High, Hooked by Module: 0x015706EC)
Entrypoint Error: ZwCreateProcessEx (Dangerous Level: High, Hooked by Module: 0x01570714)
Entrypoint Error: ZwCreateThread (Dangerous Level: High, Hooked by Module: 0x015706C4)
Entrypoint Error: ZwTerminateProcess (Dangerous Level: High, Hooked by Module: 0x0157073C)

==================================
Hidden Process
N/A

==================================

[/CODE]

Réponse 35 / 72

Bronksman Messages postés 45 Statut Membre

Voici mon rapport Diaghelp

DiagHelp version v1.3 - http://www.malekal.com
excute le 2007-11-06 à 12:33:21,25

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->2007-11-06 12:33:18
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->2007-11-06 12:32:09
C:\WINDOWS\prefetch\SRENGPS.EXE-009D3007.pf -->2007-11-06 12:25:19
C:\WINDOWS\prefetch\CPFUPDAT.EXE-18C6DFD4.pf -->2007-11-06 12:24:04
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->2007-11-06 12:23:07
C:\WINDOWS\prefetch\OSA.EXE-2CD63980.pf -->2007-11-06 12:21:22
C:\WINDOWS\prefetch\CLIPPLUS36.EXE-191CBCC9.pf -->2007-11-06 12:21:21
C:\WINDOWS\prefetch\CCEVTMGR.EXE-24B7A008.pf -->2007-11-06 12:21:20
C:\WINDOWS\prefetch\CTFMON.EXE-0E17969B.pf -->2007-11-06 12:21:15
C:\WINDOWS\prefetch\CPF.EXE-0C6CB07E.pf -->2007-11-06 12:21:15

C:\WINDOWS\System32\drivers\inspect.sys -->2007-11-06 12:14:20
C:\WINDOWS\System32\drivers\cmdmon.sys -->2007-11-06 12:14:20
C:\WINDOWS\System32\drivers\FILEM701.SYS -->2007-11-01 16:43:33
C:\WINDOWS\System32\drivers\ubsxriif.dat -->2007-10-30 18:40:00
C:\WINDOWS\System32\drivers\pkdipxac.dat -->2007-10-30 18:39:58
C:\WINDOWS\System32\drivers\scdemu.sys -->2007-04-09 07:27:07
C:\WINDOWS\System32\drivers\SYMEVENT.SYS -->2006-09-18 16:55:28

C:\WINDOWS\System32\87354753411123211122534452667798.data -->2007-11-06 12:25:07
C:\WINDOWS\System32\PerfStringBackup.INI -->2007-11-06 11:36:25
C:\WINDOWS\System32\perfh009.dat -->2007-11-06 11:36:25
C:\WINDOWS\System32\perfc009.dat -->2007-11-06 11:36:25
C:\WINDOWS\System32\FNTCACHE.DAT -->2007-11-06 11:27:53
C:\WINDOWS\System32\$winnt$.inf -->2007-11-06 11:26:19
C:\WINDOWS\System32\wmpscheme.xml -->2007-11-06 11:16:43
C:\WINDOWS\System32\nscompat.tlb -->2007-11-06 11:16:35
C:\WINDOWS\System32\amcompat.tlb -->2007-11-06 11:16:35
C:\WINDOWS\System32\WindowsLogon.manifest -->2007-11-06 11:08:20
C:\WINDOWS\System32\logonui.exe.manifest -->2007-11-06 11:08:20
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->2007-11-06 11:07:55
C:\WINDOWS\System32\sapi.cpl.manifest -->2007-11-06 11:07:55
C:\WINDOWS\System32\nwc.cpl.manifest -->2007-11-06 11:07:55
C:\WINDOWS\System32\ncpa.cpl.manifest -->2007-11-06 11:07:55
C:\WINDOWS\System32\cdplayer.exe.manifest -->2007-11-06 11:07:55
C:\WINDOWS\System32\wpa.dbl -->2007-11-05 18:52:38
C:\WINDOWS\System32\87354753411123211122534452667798.log -->2007-11-04 21:21:52
C:\WINDOWS\System32\ptrsrgpw.tmp -->2007-11-02 15:01:28
C:\WINDOWS\System32\Blank.htm -->2007-10-25 12:00:05
C:\WINDOWS\System32\TZLog.log -->2007-10-10 18:23:31
C:\WINDOWS\System32\Iqxtccd.dll -->2007-09-27 10:07:32
C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->2007-08-02 11:14:52
C:\WINDOWS\System32\wuapi.dll -->2007-07-30 18:19:36
C:\WINDOWS\System32\wucltui.dll -->2007-07-30 18:19:32

C:\WINDOWS\0.log -->2007-11-06 12:22:54
C:\WINDOWS\bootstat.dat -->2007-11-06 12:17:32
C:\WINDOWS\SchedLgU.Txt -->2007-11-06 12:15:53
C:\WINDOWS\setupapi.log -->2007-11-06 11:34:33
C:\WINDOWS\setuplog.txt -->2007-11-06 11:33:22
C:\WINDOWS\tsoc.log -->2007-11-06 11:26:50
C:\WINDOWS\ntdtcsetup.log -->2007-11-06 11:26:50
C:\WINDOWS\iis6.log -->2007-11-06 11:26:50
C:\WINDOWS\comsetup.log -->2007-11-06 11:26:50
C:\WINDOWS\setupact.log -->2007-11-06 11:26:49
C:\WINDOWS\imsins.log -->2007-11-06 11:26:49
C:\WINDOWS\setuperr.log -->2007-11-06 11:16:57
C:\WINDOWS\WMSysPrx.prx -->2007-11-06 11:16:32
C:\WINDOWS\OEWABLog.txt -->2007-11-06 11:16:25
C:\WINDOWS\ODBCINST.INI -->2007-11-06 11:16:13

MD5 des fichiers sensibles
tcpip.sys e7774698bb0d14b0710a9a31e209f9b6
ndis.sys 3efd4f59ba0a340de0a3ab984001dbf7
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 0f7d9c87b0ce1fa520473119752c6f79

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1732
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x01000000 0xf7000 6.00.2600.0000 C:\WINDOWS\Explorer.EXE
0x77c10000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x772d0000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x773d0000 0x7f4000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x77120000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll
0x75f80000 0xfc000 6.00.2600.0000 C:\WINDOWS\System32\BROWSEUI.dll
0x769c0000 0x149000 6.00.2600.0000 C:\WINDOWS\System32\SHDOCVW.dll
0x5ad70000 0x34000 6.00.2600.0000 C:\WINDOWS\System32\UxTheme.dll
0x77340000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\comctl32.dll
0x5b630000 0x70000 6.00.2600.0000 C:\WINDOWS\System32\themeui.dll
0x76b20000 0x15000 3.00.9238.0000 C:\WINDOWS\System32\ATL.DLL
0x74b30000 0x41000 6.00.2600.0000 C:\WINDOWS\System32\webcheck.dll
0x762c0000 0x8a000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x76400000 0x1fb000 2.00.2600.0000 C:\WINDOWS\System32\msi.dll
0x74af0000 0x9000 6.00.2600.0000 C:\WINDOWS\System32\BatMeter.dll
0x74ad0000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\POWRPROF.dll
0x72430000 0x12000 6.00.2600.0000 C:\WINDOWS\System32\browselc.dll
0x76200000 0x97000 6.00.2600.0000 C:\WINDOWS\system32\WININET.dll
0x760f0000 0x78000 6.00.2600.0000 C:\WINDOWS\system32\URLMON.DLL
0x76c30000 0x2b000 5.131.2600.0000 C:\WINDOWS\System32\WINTRUST.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x70eb0000 0x7000 1.01.0000.3917 C:\WINDOWS\System32\asfsipc.dll
0x605f0000 0xd000 2.00.2600.0000 C:\WINDOWS\System32\MSISIP.DLL
0x74ea0000 0x10000 5.06.0000.6626 C:\WINDOWS\System32\wshext.dll
0x763b0000 0x45000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x365a0000 0x15000 10.00.2625.0000 C:\PROGRA~1\MICROS~2\Office10\MCPS.DLL
0x76080000 0x61000 6.00.8972.0000 C:\WINDOWS\System32\MSVCP60.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 612
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x6e000 \??\C:\WINDOWS\system32\winlogon.exe
0x77c10000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x762c0000 0x8a000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x76c30000 0x2b000 5.131.2600.0000 C:\WINDOWS\system32\WINTRUST.dll
0x773d0000 0x7f4000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x772d0000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x77340000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\COMCTL32.dll
0x1f7b0000 0x31000 3.520.7713.0000 C:\WINDOWS\system32\ODBC32.dll
0x763b0000 0x45000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x1f850000 0x16000 3.520.7713.0000 C:\WINDOWS\system32\odbcint.dll
0x76bd0000 0x1e000 6.00.2600.0000 C:\WINDOWS\system32\SHSVCS.dll
0x10000000 0x11000 6.14.0010.4123 C:\WINDOWS\system32\Ati2evxx.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x5ad70000 0x34000 6.00.2600.0000 C:\WINDOWS\system32\uxtheme.dll
0x65e30000 0xd000 10.01.0005.5000 C:\WINDOWS\system32\NavLogon.dll
0x77120000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll

Volume in drive C is Bootdisk 10 Gig
Volume Serial Number is 4C35-E683

Directory of C:\WINDOWS\system32

2001-08-23 07:00 4 096 csrss.exe
1 File(s) 4 096 bytes
0 Dir(s) 3 470 471 168 bytes free

Contenu de Downloaded Program Files
Volume in drive C is Bootdisk 10 Gig
Volume Serial Number is 4C35-E683

Directory of C:\WINDOWS\Downloaded Program Files

2007-11-04 13:27 <DIR> .
2007-11-04 13:27 <DIR> ..
2007-11-06 11:08 65 desktop.ini
2006-07-11 09:41 345 656 ewidoOnlineScan.dll
2 File(s) 345 721 bytes

Total Files Listed:
2 File(s) 345 721 bytes
2 Dir(s) 3 470 467 072 bytes free

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE:*:Enabled:SAgent4"
"C:\\Program Files\\BitTorrent_DNA\\dna.exe"="C:\\Program Files\\BitTorrent_DNA\\dna.exe:*:Enabled:BitTorrent DNA"
"F:\\Program Files\\BitTorrent\\bittorrent.exe"="F:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-04 21:22:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

Process list by traversal of KiWaitListHead

4 - System
300 - E_FATIACA.EXE
408 - ccApp.exe
576 - VPTray.exe
580 - csrss.exe
612 - winlogon.exe
656 - services.exe
668 - lsass.exe
772 - Rtvscan.exe
928 - svchost.exe
984 - svchost.exe
1368 - svchost.exe
1416 - svchost.exe
1520 - spoolsv.exe
1616 - cpf.exe
1632 - ctfmon.exe
1732 - explorer.exe
1836 - ClipPlus36.exe
1876 - ccSetMgr.exe
1960 - cmdagent.exe
3260 - cmd.exe

Total number of processes = 21
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Accessing \device\physicalmemory via NtCreateSymbolicLinkObject

Driver/Module list by traversal of PsLoadedModuleList

804D0000 - \WINDOWS\system32\ntoskrnl.exe
806B4000 - \WINDOWS\system32\hal.dll
F7BA9000 - \WINDOWS\system32\KDCOM.DLL
F7AB9000 - \WINDOWS\system32\BOOTVID.dll
F765C000 - ACPI.sys
F7BAB000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F76A9000 - pci.sys
F76B9000 - isapnp.sys
F7929000 - ubsxriif.dat
F7BAD000 - viaide.sys
F7931000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F76C9000 - MountMgr.sys
F763D000 - ftdisk.sys
F7BAF000 - dmload.sys
F7619000 - dmio.sys
F7939000 - PartMgr.sys
F76D9000 - VolSnap.sys
F7603000 - atapi.sys
F76E9000 - ultra.sys
F75ED000 - \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
F76F9000 - disk.sys
F7709000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F75DB000 - sr.sys
F75C7000 - KSecDD.sys
F7544000 - Ntfs.sys
F7719000 - inspect.sys
F751C000 - \WINDOWS\System32\DRIVERS\NDIS.SYS
F7941000 - viaagp.sys
F7949000 - viaagp1.sys
F7502000 - Mup.sys
F7971000 - \SystemRoot\System32\DRIVERS\processr.sys
F735A000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
F7749000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F7981000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7347000 - \SystemRoot\System32\DRIVERS\parport.sys
F7759000 - \SystemRoot\System32\DRIVERS\serial.sys
F7B4D000 - \SystemRoot\System32\DRIVERS\serenum.sys
F7769000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F7999000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F79A1000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F7779000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F7789000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7326000 - \SystemRoot\System32\DRIVERS\ks.sys
F79A9000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
F7307000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F72F4000 - \SystemRoot\System32\DRIVERS\el90xbc5.sys
F7799000 - \SystemRoot\system32\drivers\es1371mp.sys
F72D3000 - \SystemRoot\system32\drivers\portcls.sys
F77A9000 - \SystemRoot\system32\drivers\drmk.sys
F7D75000 - \SystemRoot\System32\DRIVERS\audstub.sys
F77B9000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7B5D000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F72BD000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F77C9000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F77D9000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7B6D000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F72AC000 - \SystemRoot\System32\DRIVERS\psched.sys
F77E9000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F79C9000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F79D9000 - \SystemRoot\System32\DRIVERS\raspti.sys
F71DF000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
F77F9000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7D89000 - \SystemRoot\System32\DRIVERS\swenum.sys
F71BD000 - \SystemRoot\System32\DRIVERS\update.sys
F7B8D000 - \SystemRoot\System32\DRIVERS\gameenum.sys
F7809000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F79F1000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F7859000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7BCD000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F50F5000 - \??\C:\Program Files\Symantec AntiVirus\savrt.sys
F50D3000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS
F50BF000 - \??\C:\Program Files\Symantec AntiVirus\Savrtpel.sys
F7BD1000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7DDD000 - \SystemRoot\System32\Drivers\Null.SYS
F7BD3000 - \SystemRoot\System32\Drivers\Beep.SYS
F7A21000 - \SystemRoot\System32\drivers\vga.sys
F7BD5000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7BD7000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7A29000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7A31000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7B49000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F7879000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F4F6A000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F4F57000 - \SystemRoot\System32\DRIVERS\cmdmon.sys
F7889000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F4F1C000 - \SystemRoot\System32\Drivers\SYMTDI.SYS
F4EF7000 - \SystemRoot\System32\DRIVERS\netbt.sys
F4ED7000 - \SystemRoot\System32\drivers\afd.sys
F7899000 - \SystemRoot\System32\DRIVERS\netbios.sys
F7A59000 - \SystemRoot\System32\Drivers\SCDEmu.SYS
F4E0F000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F4D83000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F78B9000 - \SystemRoot\System32\Drivers\Fips.SYS
F4D20000 - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
F4D01000 - \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
F78C9000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F4CEB000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7BEB000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \??\C:\WINDOWS\system32\win32k.sys
F5159000 - \??\C:\WINDOWS\system32\watchdog.sys
BFF80000 - \SystemRoot\System32\drivers\dxg.sys
F7C98000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9B8000 - \SystemRoot\System32\ati2dvag.dll
BF9F8000 - \SystemRoot\System32\ati2cqag.dll
BFA32000 - \SystemRoot\System32\atikvmag.dll
BFA68000 - \SystemRoot\System32\ati3duag.dll
BFCC9000 - \SystemRoot\System32\ativvaxx.dll
F4CCF000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F289F000 - \SystemRoot\system32\drivers\wdmaud.sys
F2A5B000 - \SystemRoot\system32\drivers\sysaudio.sys
F2858000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F7C01000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F24B8000 - \SystemRoot\System32\DRIVERS\srv.sys
F1F95000 - \??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\navex15.sys
F1F82000 - \??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20071104.009\naveng.sys
F2398000 - \SystemRoot\System32\Drivers\SYMREDRV.SYS
F1E1B000 - \SystemRoot\system32\drivers\kmixer.sys
F7D51000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 118

Liste des programmes installes

ACDSee 5.0 PowerPack
Adobe Acrobat 5.0
Adobe Flash Player ActiveX
Adobe Reader 7.0.5
Apple Software Update
ATI Display Driver
CCleaner (remove only)
CoffeeCup LockBox
COMODO Firewall Pro
EasyPHP 1.8
HijackThis 1.99.1
HotDog Professional 6
Ipswitch WS_FTP Pro
Jasc Paint Shop Pro 8
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
LiveUpdate 3.1 (Symantec Corporation)
Microsoft Office XP French User Interface Pack
Microsoft Office XP Professional with FrontPage
Mozilla Firefox (1.5)
Norton Utilities 2003 for Windows
Notepad++
Photo-Objects 50,000 Premium Image Collection
PowerISO
QuickTime
Sausage Software Common Files
Software Update for Web Folders
Symantec AntiVirus
WD Diagnostics
WinRAR archiver

Volume in drive C is Bootdisk 10 Gig
Volume Serial Number is 4C35-E683

Directory of C:\Program Files

2007-11-06 12:14 <DIR> .
2007-11-06 12:14 <DIR> ..
2007-04-15 23:27 <DIR> Adobe
2007-07-30 15:25 <DIR> Apple Software Update
2007-10-09 16:46 <DIR> Common Files
2007-11-06 12:14 <DIR> Comodo
2007-04-15 22:05 <DIR> ComPlus Applications
2007-04-30 11:02 <DIR> EPSON
2007-11-05 18:19 <DIR> Internet Explorer
2007-08-02 11:14 <DIR> Java
2007-04-15 22:19 <DIR> Messenger
2007-10-09 17:36 <DIR> Microsoft ActiveSync
2007-04-15 22:11 <DIR> microsoft frontpage
2007-10-09 17:33 <DIR> Microsoft Office
2007-11-05 18:20 <DIR> Movie Maker
2007-08-28 14:03 <DIR> Mozilla Firefox
2007-04-15 22:05 <DIR> MSN
2007-04-15 22:04 <DIR> MSN Gaming Zone
2007-04-15 23:12 <DIR> MSN Messenger
2007-11-05 18:19 <DIR> NetMeeting
2007-04-15 22:08 <DIR> Online Services
2007-10-10 18:21 <DIR> Outlook Express
2007-04-30 18:27 <DIR> Symantec
2007-11-06 12:23 <DIR> Symantec AntiVirus
2007-04-15 23:19 <DIR> Unlocker
2007-07-17 22:01 <DIR> Western Digital Technologies
2007-11-06 11:16 <DIR> Windows Media Player
2007-11-05 18:05 <DIR> Windows NT
2007-05-31 10:55 <DIR> WinRAR
2007-04-15 22:11 <DIR> xerox
0 File(s) 0 bytes
30 Dir(s) 3 482 415 104 bytes free
Volume in drive C is Bootdisk 10 Gig
Volume Serial Number is 4C35-E683

Directory of C:\Program Files\common files

2007-10-09 16:46 <DIR> .
2007-10-09 16:46 <DIR> ..
2007-04-17 18:44 <DIR> ACD Systems
2007-04-17 19:13 <DIR> Adobe
2007-10-09 17:36 <DIR> Designer
2007-04-17 19:02 <DIR> InstallShield
2007-04-30 21:59 <DIR> Java
2007-10-09 17:37 <DIR> Microsoft Shared
2007-04-15 22:06 <DIR> MSSoap
2007-04-15 18:51 <DIR> ODBC
2007-04-15 22:07 <DIR> Services
2007-04-15 18:51 <DIR> SpeechEngines
2007-04-30 18:28 <DIR> Symantec Shared
2007-10-10 18:21 <DIR> System
0 File(s) 0 bytes
14 Dir(s) 3 482 415 104 bytes free
Volume in drive C is Bootdisk 10 Gig
Volume Serial Number is 4C35-E683

Directory of C:\

2007-04-19 16:55 140 288 javex.exe
1 File(s) 140 288 bytes
0 Dir(s) 3 482 411 008 bytes free

c:\Documents and Settings\All Users\Documents\Jasc PaintShop Pro 7 (1).exe
c:\Documents and Settings\Bronksman\Application Data\Microsoft\Installer\{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}\ARPPRODUCTICON.exe
c:\Documents and Settings\Bronksman\Application Data\Microsoft\Installer\{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}\Uninstall_WD_Diagnos_0AB76F69E7614CFAB9B0A1906B4E9E4B.exe
c:\Documents and Settings\Bronksman\Application Data\Microsoft\Installer\{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}\WinDlg.exe_0AB76F69E7614CFAB9B0A1906B4E9E4B_3.exe
c:\Documents and Settings\Bronksman\Desktop\avgas-setup-7.5.1.43.exe
c:\Documents and Settings\Bronksman\Desktop\ccsetup201.exe
c:\Documents and Settings\Bronksman\Desktop\SDFix.exe
c:\Documents and Settings\Bronksman\Desktop\spybotsd_includes.exe
c:\Documents and Settings\Bronksman\Desktop\spybotsd15.exe
c:\Documents and Settings\Bronksman\Desktop\VundoFix.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\catchme.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\diff.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\dumphive.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\find2.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\Fport.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\grep.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\gzip.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\LFiles.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\md5sums.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\pslist.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\streams.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\swreg.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\tar.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Bronksman\Desktop\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Bronksman\Desktop\sreng2\SREngPS.EXE
c:\Documents and Settings\Bronksman\My Documents\My Received Files\test\PowerISO 3.7.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PAPA900MHZ.tar.gz a l'adresse http://upload.malekal.com

Réponse 36 / 72

Bronksman Messages postés 45 Statut Membre

Voici mon rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:38:09, on 2007-11-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\ClipPlus36\ClipPlus36.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
F:\HijackThis\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Sites%20Web/01mes%20liens/mesliens.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} - C:\WINDOWS\system32\cmcfg3.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [\\MAISON-ENFANTS\EPSON Stylus CX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACA.EXE /P43 "\\MAISON-ENFANTS\EPSON Stylus CX3800 Series" /O6 "USB001" /M "Stylus CX3800"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ClipPlus36.exe.lnk = D:\ClipPlus36\ClipPlus36.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Iqxtccd - C:\WINDOWS\SYSTEM32\Iqxtccd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Microsoft Internet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Réponse 37 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Re,

On attaque.
A/ Tu dois réactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », décoche la case « désactiver la restauration système ». Clique sur appliquer>OK et redémarre le PC.

B/
1. Télécharger The Avenger par Swandog46 sur votre Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
· Click sur Avenger.zip pour ouvrir le fichier
· Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
Microsoft Internet Service
mckzmvlc

Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Iqxtccd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C4DCFCA-1F18-476C-9E0A-FC6F303BC986}

Files to delete:
C:\WINDOWS\SYSTEM32\Iqxtccd.dll
C:\WINDOWS\system32\cmcfg3.dll
C:\WINDOWS\system32\87354753411123211122534452667798.data
C:\WINDOWS\system32\87354753411123211122534452667798.log
C:\WINDOWS\system32\_svchost.exe
C:\WINDOWS\System32\drivers\ubsxriif.dat
C:\WINDOWS\System32\drivers\pkdipxac.dat
C:\WINDOWS\System32\ptrsrgpw.tmp
C:\Documents and Settings\Bronksman\ie_update3r.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
· Sous "Script file to execute" choisir "Input Script Manually".
· Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
· Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
· Cliquer Done
· ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
· Répondre "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
· Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
· Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
· Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
· The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

C/ Edite aussi, avec le rapport Avenger et le rapport Hijackthis un nouveau rapport SREng et un nouveau rapport Diaghelp.

FillPCA

Réponse 38 / 72

Bronksman Messages postés 45 Statut Membre

Au secour...
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

La fenetre reste là.
C:\Documents and Settings\Bronksman\ barre de soulignement clignotante ici

Que dois-je faire? Le disque dur ne semble plus roulé.
Comme si le système attend une commande.

Réponse 39 / 72

FillPCA Messages postés 2264 Statut Contributeur sécurité 123

Essaie de provoquer le redémarrage, en maintenant le bouton appuyé si nécessaire.

FillPCA

Réponse 40 / 72

Bronksman Messages postés 45 Statut Membre

Voici rapport Avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wrknggfc

*******************

Script file located at: \??\C:\Documents and Settings\hebiwxvy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver Microsoft Internet Service unloaded successfully.

Could not open registry key \Registry\Machine\System\CurrentControlSet\Services\mckzmvlc for deletion
Unload of driver mckzmvlc failed!

Could not process line:
mckzmvlc
Status: 0xc0000022

File C:\WINDOWS\SYSTEM32\Iqxtccd.dll deleted successfully.

Could not open file C:\WINDOWS\system32\cmcfg3.dll for deletion
Deletion of file C:\WINDOWS\system32\cmcfg3.dll failed!

Could not process line:
C:\WINDOWS\system32\cmcfg3.dll
Status: 0xc0000022

File C:\WINDOWS\system32\87354753411123211122534452667798.data deleted successfully.
File C:\WINDOWS\system32\87354753411123211122534452667798.log deleted successfully.

File C:\WINDOWS\system32\_svchost.exe not found!
Deletion of file C:\WINDOWS\system32\_svchost.exe failed!

Could not process line:
C:\WINDOWS\system32\_svchost.exe
Status: 0xc0000034

Could not open file C:\WINDOWS\System32\drivers\ubsxriif.dat for deletion
Deletion of file C:\WINDOWS\System32\drivers\ubsxriif.dat failed!

Could not process line:
C:\WINDOWS\System32\drivers\ubsxriif.dat
Status: 0xc0000022

Could not open file C:\WINDOWS\System32\drivers\pkdipxac.dat for deletion
Deletion of file C:\WINDOWS\System32\drivers\pkdipxac.dat failed!

Could not process line:
C:\WINDOWS\System32\drivers\pkdipxac.dat
Status: 0xc0000022

File C:\WINDOWS\System32\ptrsrgpw.tmp deleted successfully.

File C:\Documents and Settings\Bronksman\ie_update3r.exe not found!
Deletion of file C:\Documents and Settings\Bronksman\ie_update3r.exe failed!

Could not process line:
C:\Documents and Settings\Bronksman\ie_update3r.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Iqxtccd deleted successfully.

Could not open registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C4DCFCA-1F18-476C-9E0A-FC6F303BC986} failed!
Status: 0xc0000022

Completed script processing.

*******************

Finished! Terminate.

Discussions similaires

infection

Grosse infection de spyware

Infection pc

[pnkbstra]infection

infection virus

Infection de Trojans

72 réponses

Votre réponse

Discussions similaires

Newsletters