Ordinateur infecte par rootkit.agent.ey

Résolu
jjclaude123 Messages postés 23 Date d'inscription   Statut Membre -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,nouveau venu sur ce forum, je suis un simple utilisateur de logiciels courants et ne connais pas grand chose à l'informatique.
Mon problème : depuis deux semaines AVAST a détecté un cheval de troie sur mon portable. Il s'agit de Rootkit.Agent.EY qui produit 37 infections. Spywaredoctor en surrpime 35 mais ne peut nettoyer les deux autres qui se trouvent dans les fichiers :
C\WINDOWS\SYSTEME32\drivers\runtime2.sys
C\windows\temp\statrdrv.exe

Je constate une lenteur au démarrage et l'apparition d'une fenêtre qui m'indique :
devadwp.exe a rencontré un problème et doit fermer

Je remercie d'avance l'âme charitable qui pourra m'aider à résoudre ce problème.
Ci-joint le rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:12:31 , on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

--
End of file - 10328 bytes
Configuration: Windows XP
Internet Explorer 7.0

34 réponses

  • 1
  • 2
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,

    1/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    # Imprime ceci.
    # Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

    # Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    2/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

    Ouvre Ccleaner, clique sur "lancer le nettoyage".

    3/ Pour une meilleure réponse, télécharge le logiciel HijackThis v 2.0.2
    http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
    Démo en image
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Fais un scan et poste l'analyse.

    FillPCA
    2
  2. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Re,
    Pour le rapport SREng j'ai suivi tes instructions à la lettre donc je ne sais pas.

    J'ai téléchargé BFU et suivi la procédure mais quand je clique sur OK après Complete script instruction Windows me dit qu'il travaille en mode sans echec et lorsque je clique Oui sur cette fenêtre je n'ai pas d'option Save mais seulement Execute ou Exit. Est-ce que ce rapport est enregistré ailleurs et sous quel nom ?
    1
  3. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Si tu as bien créé et enregistré le fichier fix.BFU comme indiqué, il faut redémarrer en mode sans échec puis exécuter BFU.exe, ouvrir le fichier fix.BFU puis cliquer sur execute

    Relis bien les instructions données.
    1
  4. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Re,
    Décidément je ne comprends pas.
    J'ai décompressé BFU dans C:\BFU. J'ai copié les instructions dans le bloc-notes de Windows que j'ai renommé fix.BFU sur le bureau que j'ai déplacé dans c:\BFU où se trouve déjà BFU.exe. Je redémarre en mode sans echec et dans mon compte je double clique sur BFU.exe de C:\BFU. Je configure avec la commande indiquée et après avoir ouvert le dossier jaune je double clique sur fix.bfu. En dessous de script to execute (CRC32 7DCBF-409): apparaît C:\BFU\fix.BFU. J'execute et immédiatement apparaît une fenêtre qui me dit que Windows fonctionne en mode sans echec, j'ai en dessous une petite fenêtre BFU "Completed script execution" et lorsque je clique sur OK je n'ai dans BFU que les commandes Execute et Exit. Si dans la fenêtre Windows je clique OUI je vais directement dans "Mes documents".
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Re, Ca y est j'ai trouvé. Il fallait cocher la dernière option pour avoir accès au rapport que voici :
    BFU v1.10.0
    Windows XP SP2 (WinNT 5.01.2600 SP2)
    Script started at 17:08:56, on 10/12/2007

    Option Unload Explorer: Yes
    Failed: ServiceStop MEMSWEEP2 (service not found)
    Failed: ServiceDisable MEMSWEEP2 (service not found)
    Failed: ServiceDelete MEMSWEEP2 (service not found)
    Failed: FileDelete C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DFFFC.tmp (operation failed)
    Script completed.

    SDFix: Version 1.117

    Run by JEAN-CLAUDE DASTE on 10/12/2007 at 05:11

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-10 17:16:27
    Windows 5.1.2600 Service Pack 2 NTFS

    detected NTDLL code modification:
    ZwClose

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
    "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    Sat 27 Jan 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
    Tue 30 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"

    Finished!
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 5:28:34 , on 10/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Spyware Doctor\svcntaux.exe
    C:\Program Files\Spyware Doctor\swdsvc.exe
    C:\Program Files\Spyware Doctor\SDTrayApp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\WINDOWS\system32\mqsvc.exe
    C:\Program Files\Windows Media Player\WMPNetwk.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\system32\mqtgsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\HP\QuickPlay\QPService.exe
    C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    1
  7. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

    Ouvre Ccleaner, clique sur "lancer le nettoyage".

    2/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    3/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    Edite le rapport AVGantispyware et le rapport Kaspersky.

    Dis-moi aussi comment le pc se porte.

    FillPCA
    1
    1. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
       
      Bonjour,
      Je constate simplement une lenteur au démarrage et l'apparition d'une fenêtre de Spybot S&D qui signale qu'un élément important du registre a été modifié.
      Catégorie : Système Startup Global entry
      Modif : valeur supprimée
      Elément : clkhost
      Ancienne valeur : C:\WINDOWS\devadwp.exe
      Faut-il autoriser ou refuser la modif?
      Voici les rapports :
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 7:28:41 11/12/2007

      + Résultat de l'analyse:



      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036341.exe -> Downloader.Wixud.j : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036342.exe -> Downloader.Wixud.j : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036343.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036344.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036345.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036346.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036347.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036348.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036349.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036350.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036351.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036352.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036353.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036354.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036355.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036356.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036357.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036358.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036359.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036360.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036361.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036362.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036363.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036364.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036365.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036366.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036367.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036327.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036328.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036329.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036330.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036331.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036332.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036333.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036334.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036335.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036336.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036337.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036338.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036339.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036340.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).


      Fin du rapport

      -------------------------------------------------------------------------------
      KASPERSKY ONLINE SCANNER REPORT
      Tuesday, December 11, 2007 9:07:49 AM
      Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky Online Scanner version: 5.0.98.0
      Kaspersky Anti-Virus database last update: 11/12/2007
      Kaspersky Anti-Virus database records: 479592
      -------------------------------------------------------------------------------

      Scan Settings:
      Scan using the following antivirus database: extended
      Scan Archives: true
      Scan Mail Bases: true

      Scan Target - My Computer:
      C:\
      D:\
      E:\

      Scan Statistics:
      Total number of scanned objects: 74693
      Number of viruses found: 6
      Number of infected objects: 12
      Number of suspicious objects: 0
      Duration of the scan process: 01:12:57

      Infected Object Name / Virus Name / Last Action
      C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\MSHist012007121120071212\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\Perflib_Perfdata_6cc.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF53A2.tmp Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DFBF00.tmp Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/BnnnnBaa.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/VaannnaaBaa.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/Bnnnnn.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4 ZIP: infected - 3 skipped
      C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
      C:\Program Files\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
      C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP122\A0015608.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022820.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022831.exe Infected: Trojan-PSW.Win32.Agent.up skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022834.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
      C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
      C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{92621EF6-7001-4F25-94A6-A8D5A1EACB51}.crmlog Object is locked skipped
      C:\WINDOWS\SchedLgU.Txt Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
      C:\WINDOWS\Sti_Trace.log Object is locked skipped
      C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
      C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\default Object is locked skipped
      C:\WINDOWS\system32\config\default.LOG Object is locked skipped
      C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
      C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
      C:\WINDOWS\system32\config\SAM Object is locked skipped
      C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
      C:\WINDOWS\system32\config\software Object is locked skipped
      C:\WINDOWS\system32\config\software.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\system Object is locked skipped
      C:\WINDOWS\system32\config\system.LOG Object is locked skipped
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
      C:\WINDOWS\system32\h323log.txt Object is locked skipped
      C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
      C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
      C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
      C:\WINDOWS\system32\spoolv.exe Infected: Backdoor.Win32.Agent.cpv skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
      C:\WINDOWS\Temp\Perflib_Perfdata_738.dat Object is locked skipped
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
      C:\WINDOWS\wiadebug.log Object is locked skipped
      C:\WINDOWS\wiaservc.log Object is locked skipped
      C:\WINDOWS\WindowsUpdate.log Object is locked skipped
      C:\_OTMoveIt\MovedFiles\WINDOWS\system32\spoolw.exe Infected: Trojan-PSW.Win32.Agent.up skipped

      Scan process completed.
      0
  8. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Salut,

    Il faut bien sûr autoriser cette suppression qui correspond à la suppression d'une valeur de registre infectieuse.

    A/ Télécharge et utilise ATFcleaner pour supprimer les fichiers temporaires :
    http://pitcatsite.ovh.org/php/ATFCleaner.php

    B/
    1. Télécharger The Avenger par Swandog46 sur votre Bureau.
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    · Click sur Avenger.zip pour ouvrir le fichier
    · Extraire avenger.exe sur votre bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Files to delete:
    C:\WINDOWS\system32\spoolv.exe


    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

    3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
    · Sous "Script file to execute" choisir "Input Script Manually".
    · Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    · Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    · Cliquer Done
    · ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    · Répondre "Yes" deux fois quand demandé.
    4. The Avenger va automatiquement faire ce qui suit:
    · Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    · Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    · Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    · The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse.

    C/ Vide le cache de Java comme tu l'as déjà fait.

    D/ Refais un scan en ligne avec Kaspersky en ne scannant que la zone critique.

    E/ Edite le rapport Avenger et le rapports Kaspersky.

    FillPCA
    1
  9. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Bonjour
    Je pense que ça fonctionne beaucoup mieux.
    Voici les rapports
    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\jhyrcaox

    *******************

    Script file located at: \??\C:\Documents and Settings\cgcstwbf.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File C:\WINDOWS\system32\spoolv.exe deleted successfully.

    File Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. not found!
    Deletion of file Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. failed!

    Could not process line:
    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    Status: 0xc0000034

    File si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. not found!
    Deletion of file si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. failed!

    Could not process line:
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
    Status: 0xc0000034

    Completed script processing.

    *******************

    Finished! Terminate.
    -------------------------------------------------------------------------------
    KASPERSKY ONLINE SCANNER REPORT
    Wednesday, December 12, 2007 7:17:38 AM
    Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky Online Scanner version: 5.0.98.0
    Kaspersky Anti-Virus database last update: 12/12/2007
    Kaspersky Anti-Virus database records: 480421
    -------------------------------------------------------------------------------

    Scan Settings:
    Scan using the following antivirus database: extended
    Scan Archives: true
    Scan Mail Bases: true

    Scan Target - Critical Areas:
    C:\WINDOWS
    C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\

    Scan Statistics:
    Total number of scanned objects: 26076
    Number of viruses found: 1
    Number of infected objects: 1
    Number of suspicious objects: 0
    Duration of the scan process: 00:23:41

    Infected Object Name / Virus Name / Last Action
    C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
    C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
    C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{9925D12C-12B9-4D1C-964C-B8542802D3A4}.crmlog Object is locked skipped
    C:\WINDOWS\SchedLgU.Txt Object is locked skipped
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
    C:\WINDOWS\Sti_Trace.log Object is locked skipped
    C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
    C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
    C:\WINDOWS\system32\config\default Object is locked skipped
    C:\WINDOWS\system32\config\default.LOG Object is locked skipped
    C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
    C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
    C:\WINDOWS\system32\config\SAM Object is locked skipped
    C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
    C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
    C:\WINDOWS\system32\config\SECURITY Object is locked skipped
    C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
    C:\WINDOWS\system32\config\software Object is locked skipped
    C:\WINDOWS\system32\config\software.LOG Object is locked skipped
    C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
    C:\WINDOWS\system32\config\system Object is locked skipped
    C:\WINDOWS\system32\config\system.LOG Object is locked skipped
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
    C:\WINDOWS\system32\h323log.txt Object is locked skipped
    C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
    C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
    C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
    C:\WINDOWS\Temp\Perflib_Perfdata_710.dat Object is locked skipped
    C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
    C:\WINDOWS\wiadebug.log Object is locked skipped
    C:\WINDOWS\wiaservc.log Object is locked skipped
    C:\WINDOWS\WindowsUpdate.log Object is locked skipped
    C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DF8CF1.tmp Object is locked skipped
    C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DFB194.tmp Object is locked skipped

    Scan process completed.
    1
  10. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ Supprime les outils téléchargés (Avenger etc...). Vide la corbeille.
    2/ * Lance OTmoveIT.
    * Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargés).

    NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder à internet, Autorise le.

    * Une liste apparaît dans la partie gauche d'OTmoveIT.
    * Un message apparaît pour confirmer le nettoyage. Confirme.
    * Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

    3/ Ouvre Ccleaner, clique sur lancer le nettoyage.

    4/ Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

    5/ Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, lopxpMH, ect.....) qui traitent des infections spécifiques et qui sont mis à jour régulièrement. Il est inutile de les garder sur ton PC.
    Tu peux par contre, garder AVG Antispyware et CCleaner.

    6/ /!\ Maintenant que ton PC n'est plus infecté, désactive puis réactive ta "Restauration du système" afin de créer un point de restauration sain.
    Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.
    Désactivation:
    Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer et Ok.
    Activation:
    Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer et Ok. Redémarrer l'ordinateur.

    7/ Comment faire pour...(lettre A): https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    Pour améliorer la sécurité de ton PC prend quelques instants pour lire:
    Sécuriser son PC +WIFI (versions "hot" & "light"): https://forum.pcastuces.com/default.asp

    8/ Dénonce ton infection pour faire condamner les auteurs.

    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
    - Voir les règles du forum : https://malwarecomplaints.info/
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    *** Tes infections : Bck/Agent.HDS, Downloader.Wixud.j, Heuristic.Win32.Dialer, Trojan.Agent.ckl, Trojan.Java.ClassLoader.as***
    >> https://malwarecomplaints.info/
    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)
    Indique aussi le nom du Forum qui t'a aidé : CCM

    9/ Tu peux marquer ton sujet comme résolu en cliquant sur le bouton.

    10/ Je te conseille enfin de défragmenter ton PC : http://www.coupdepoucepc.com/modules/news/article.php?storyid=218

    Bon surf !

    FillPCA
    1
  11. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Re,
    Un grand merci pour ton aide. Je suis vraiment admiratif, quelle compétence pour comprendre qq chose à tout ce charabia.
    J'ai hésité avant de poser mon problème sur ce forum car, après l'avoir consulté plusieurs fois, je pensais que je ne comprendrais rien aux opérations qui me seraient demandées. Eh bien non, aucun problème, même pour un profane. Tes explications sont très détaillées et on arrive à piger malgré que la plupart des outils sont en anglais.
    Bravo PhllCA et encore Merci.
    1
  12. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Bonsoir mais je n'ai plus accès à la restauration des paramètres
    0
  13. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Bonjour. Ce scan reste sans succès. Merci
    0
  14. jjclaude123
     
    Bonjour PhllPCA et merci de me venir en aide.
    Je t'adresse les rapports demandés :

    SDFix: Version 1.117

    Run by JEAN-CLAUDE DASTE on 08/12/2007 at 10:27

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Service runtime2 - Deleted after Reboot
    Service symavc32 - Deleted after Reboot

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\Temp\startdrv.exe - Deleted
    C:\WINDOWS\system32\drivers\runtime2.sys - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-08 10:31:59
    Windows 5.1.2600 Service Pack 2 NTFS

    detected NTDLL code modification:
    ZwClose

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
    "Epoch"=dword:0000084a

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
    "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

    Remaining Files:
    ---------------

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Sat 27 Jan 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
    Tue 30 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"

    Finished!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:47:07 , on 08/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Spyware Doctor\svcntaux.exe
    C:\Program Files\Spyware Doctor\swdsvc.exe
    C:\Program Files\Spyware Doctor\SDTrayApp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\mqsvc.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\Program Files\Windows Media Player\WMPNetwk.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\system32\mqtgsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\HP\QuickPlay\QPService.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
    O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
    O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    0
  15. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
    * Cliquer sur outils>options des dossiers>affichage.
    * Sélectionner :
    o afficher les fichiers et dossiers cachés,
    o décocher "masquer les extensions des fichiers dont le type est connu",
    o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

    * "appliquer" et "ok"

    2/ * Peux-tu tester ceci : C:\WINDOWS\devadwp.exe
    * Clique sur ce lien : http://www.virustotal.com/en/indexf.html
    * Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
    * Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.

    Recommence avec celui-ci : C:\WINDOWS\system32\spoolw.exe

    FillPCA
    0
  16. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Re et grand merci Rootkit.Agent.EY a disparu.
    Après avoir effectué toutes les manipulations dans l'explorateur Windows, je ne trouve pas le fichier devadwp.exe dans le répertoire Windows.

    Pour virustotal c'est une version en français donc pas de commande Send j'ai donc cliqué sur envoyer et voilà le rapport :
    File spoolw.exe received on 12.07.2007 02:06:34 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Result: 8/32 (25%)
    Loading server information...
    Your file is queued in position: ___.
    Estimated start time is between ___ and ___ .
    Do not close the window until scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Compact Print results
    Your file has expired or does not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 - - -
    AntiVir - - -
    Authentium - - -
    Avast - - -
    AVG - - -
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - Trojan.Proxy.origin
    eSafe - - suspicious Trojan/Worm
    eTrust-Vet - - -
    Ewido - - -
    FileAdvisor - - -
    Fortinet - - -
    F-Prot - - -
    F-Secure - - DLoader.EGSE
    Ikarus - - -
    Kaspersky - - -
    McAfee - - -
    Microsoft - - Trojan:Win32/Makplu.A
    NOD32v2 - - -
    Norman - - DLoader.EGSE
    Panda - - Bck/Agent.HDS
    Prevx1 - - Malware.Gen
    Rising - - -
    Sophos - - -
    Sunbelt - - -
    Symantec - - Hacktool.Spammer
    TheHacker - - -
    VBA32 - - -
    VirusBuster - - -
    Webwasher-Gateway - - -
    Additional information
    MD5: 4c6e97584658f20661d33afc176687ba
    0
  17. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ Ouvre Hijackthis>"Do a scan only" et coche ceci :
    O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
    O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe


    Clique sur fix/réparer.

    2/ * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

    C:\WINDOWS\devadwp.exe
    C:\WINDOWS\system32\spoolw.exe


    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    3/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

    Ouvre Ccleaner, clique sur "lancer le nettoyage".

    4/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    5/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    6/ Edite le rapport OTMOveIt, AVGantispyware, Kaspersky et un nouveau rapport Hijackthis.

    FillPCA
    0
    1. jjclaude123
       
      Re
      Voici tous les rapports demandés :
      OTMovelt
      C:\WINDOWS\devadwp.exe moved successfully.
      C:\WINDOWS\system32\spoolw.exe moved successfully.

      Created on 12/08/2007 17:15:40

      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 6:17:28 08/12/2007

      + Résultat de l'analyse:



      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP127\A0031409.sys -> Downloader.Agent.acl : Nettoyé.
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP124\A0023920.exe -> Downloader.Agent.ekd : Nettoyé.
      C:\WINDOWS\xlaherx.exe -> Downloader.Wixud.j : Nettoyé.
      C:\_OTMoveIt\MovedFiles\WINDOWS\devadwp.exe -> Downloader.Wixud.j : Nettoyé.
      C:\WINDOWS\ekdia103.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia104.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia105.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia106.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia112.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia128.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia129.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia142.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia143.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia148.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia149.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia155.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia156.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia157.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia159.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia163.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia164.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia167.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia171.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia176.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia177.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia178.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia182.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia184.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\ekdia188.exe -> Heuristic.Win32.Dialer : Nettoyé.
      C:\WINDOWS\system32\config\systemprofile\Cookies\system@findwhat[1].txt -> TrackingCookie.Findwhat : Nettoyé.
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\jean-claude_daste@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
      C:\WINDOWS\doll104.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll107.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll108.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll125.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll132.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll136.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll139.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll143.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll150.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll161.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll175.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll180.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll188.exe -> Trojan.Agent.ckl : Nettoyé.
      C:\WINDOWS\doll196.exe -> Trojan.Agent.ckl : Nettoyé.


      Fin du rapport

      -------------------------------------------------------------------------------
      KASPERSKY ONLINE SCANNER REPORT
      Saturday, December 08, 2007 8:35:18 PM
      Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky Online Scanner version: 5.0.98.0
      Kaspersky Anti-Virus database last update: 8/12/2007
      Kaspersky Anti-Virus database records: 477362
      -------------------------------------------------------------------------------

      Scan Settings:
      Scan using the following antivirus database: extended
      Scan Archives: true
      Scan Mail Bases: true

      Scan Target - My Computer:
      C:\
      D:\
      E:\

      Scan Statistics:
      Total number of scanned objects: 75637
      Number of viruses found: 7
      Number of infected objects: 50
      Number of suspicious objects: 0
      Duration of the scan process: 01:38:47

      Infected Object Name / Virus Name / Last Action
      C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\Perflib_Perfdata_16b4.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF6E56.tmp Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF9B7E.tmp Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
      C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/BnnnnBaa.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/VaannnaaBaa.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/Bnnnnn.class Infected: Trojan.Java.ClassLoader.as skipped
      C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4 ZIP: infected - 3 skipped
      C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
      C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
      C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP122\A0015608.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022820.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022834.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036327.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036328.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036329.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036330.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036331.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036332.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036333.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036334.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036335.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036336.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036337.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036338.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036339.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036340.exe Infected: Trojan.Win32.Agent.ckl skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036341.exe Infected: Trojan-Downloader.Win32.Wixud.j skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036342.exe Infected: Trojan-Downloader.Win32.Wixud.j skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036343.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036344.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036345.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036346.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036347.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036348.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036349.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036350.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036351.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036352.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036353.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036354.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036355.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036356.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036357.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036358.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036359.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036360.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036361.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036362.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036363.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036364.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036365.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036366.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036367.exe Infected: Trojan.Win32.Agent.cht skipped
      C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\change.log Object is locked skipped
      C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
      C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
      C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{312F1BB8-6F8C-4C9F-BD43-DE6C480DDC31}.crmlog Object is locked skipped
      C:\WINDOWS\SchedLgU.Txt Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
      C:\WINDOWS\Sti_Trace.log Object is locked skipped
      C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
      C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
      C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
      C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\default Object is locked skipped
      C:\WINDOWS\system32\config\default.LOG Object is locked skipped
      C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
      C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
      C:\WINDOWS\system32\config\SAM Object is locked skipped
      C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
      C:\WINDOWS\system32\config\software Object is locked skipped
      C:\WINDOWS\system32\config\software.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\system Object is locked skipped
      C:\WINDOWS\system32\config\system.LOG Object is locked skipped
      C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
      C:\WINDOWS\system32\h323log.txt Object is locked skipped
      C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
      C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
      C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
      C:\WINDOWS\system32\spoolv.exe Infected: Backdoor.Win32.Agent.cpv skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
      C:\WINDOWS\Temp\Perflib_Perfdata_710.dat Object is locked skipped
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
      C:\WINDOWS\wiadebug.log Object is locked skipped
      C:\WINDOWS\wiaservc.log Object is locked skipped
      C:\WINDOWS\WindowsUpdate.log Object is locked skipped
      D:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\change.log Object is locked skipped

      Scan process completed.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 8:38:44 , on 08/12/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16544)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\ehome\ehtray.exe
      C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\HP\QuickPlay\QPService.exe
      C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\Program Files\Spyware Doctor\SDTrayApp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
      C:\Program Files\Windows Media Player\WMPNSCFG.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\WINDOWS\system32\msdtc.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Spyware Doctor\svcntaux.exe
      C:\Program Files\Spyware Doctor\swdsvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\ehome\mcrdsvc.exe
      C:\WINDOWS\system32\mqsvc.exe
      C:\Program Files\Windows Media Player\WMPNetwk.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\mqtgsvc.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\eHome\ehmsas.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
      O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
      O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
      O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
      O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
      O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
      O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
      O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
      O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
      0
  18. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Il y a des lignes qui résistent. Il y a sans doute un autre rootkit derrière.

    1/ Clique sur démarrer>Panneau de configuration>Java
    Dans l'onglet général, choisis paramètres dans fichiers temporaires puis choisis "supprimer les fichiers".
    Valide en cliquant sur OK.

    2/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) :
    http://www.malekal.com/download/DiagHelp.zip
    Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    * Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    * Un nouveau dossier chercher va être créé.
    * Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    * Une fenêtre va s'ouvrir, choisis l'option 1
    * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    * Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
    * Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    * Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    * Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

    3/ * Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
    * Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
    * Ouvre le dossier SReng2 et double-clique sur SREng.exe.
    * Clique sur "smart scan".
    * Clique sur le bouton "scan".
    * Quand l'analyse est terminée, clique sur le bouton "save reports".
    * Sauvegarde alors le rapport sur ton bureau.
    * Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

    FillPCA
    0
  19. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Bonjour.
    J'ai envoyé les deux rapports ce matin mais apparemment ça n'a pas marché. Je te les adresse séparément.
    Au démarrage du portable je n'ai plus les deux fenêtres concernant spool.exe et devadwp.exe et je ne constate aucun désagrément dans le fonctionnement de la machine

    DiagHelp version v1.4 - http://www.malekal.com
    excute le 09/12/2007 à 8:30:58,06

    Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
    C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->09/12/2007 08:30:54
    C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->09/12/2007 08:30:42
    C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->09/12/2007 08:30:25
    C:\WINDOWS\prefetch\BOONTYBOXENGINE.EXE-025B9439.pf -->09/12/2007 08:27:40
    C:\WINDOWS\prefetch\MSHTA.EXE-331DF029.pf -->09/12/2007 08:27:38
    C:\WINDOWS\prefetch\RUNDLL32.EXE-17B341D7.pf -->09/12/2007 08:27:29
    C:\WINDOWS\prefetch\RUNDLL32.EXE-15830F12.pf -->09/12/2007 08:26:04
    C:\WINDOWS\prefetch\UPDATE.EXE-1A7E7F45.pf -->09/12/2007 08:23:13
    C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->09/12/2007 08:21:20
    C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->09/12/2007 08:20:48

    C:\WINDOWS\System32\drivers\aswmon.sys -->25/10/2007 18:05:36
    C:\WINDOWS\System32\drivers\aswmon2.sys -->25/10/2007 18:05:20
    C:\WINDOWS\System32\drivers\aswRdr.sys -->25/10/2007 18:03:19
    C:\WINDOWS\System32\drivers\aswTdi.sys -->25/10/2007 18:01:34
    C:\WINDOWS\System32\drivers\aavmker4.sys -->25/10/2007 17:58:49
    C:\WINDOWS\System32\drivers\kcom.sys -->04/10/2007 16:11:00
    C:\WINDOWS\System32\drivers\iksyssec.sys -->04/10/2007 16:10:58

    C:\WINDOWS\System32\nvapps.xml -->09/12/2007 08:09:08
    C:\WINDOWS\System32\zllictbl.dat -->07/12/2007 06:18:15
    C:\WINDOWS\System32\wpa.dbl -->07/12/2007 05:51:59
    C:\WINDOWS\System32\CONFIG.NT -->26/11/2007 06:14:07
    C:\WINDOWS\System32\perfh00C.dat -->16/11/2007 06:06:52
    C:\WINDOWS\System32\perfh009.dat -->16/11/2007 06:06:52
    C:\WINDOWS\System32\perfc00C.dat -->16/11/2007 06:06:52
    C:\WINDOWS\System32\perfc009.dat -->16/11/2007 06:06:52
    C:\WINDOWS\System32\PerfStringBackup.INI -->16/11/2007 06:06:51
    C:\WINDOWS\System32\spoolv.exe -->13/11/2007 05:50:21
    C:\WINDOWS\System32\MRT.exe -->02/11/2007 08:12:57
    C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
    C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
    C:\WINDOWS\System32\aswBoot.exe -->25/10/2007 17:24:45
    C:\WINDOWS\System32\AVASTSS.scr -->25/10/2007 17:14:25
    C:\WINDOWS\System32\LegitCheckControl.dll -->11/10/2007 14:12:48
    C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->10/10/2007 05:30:51
    C:\WINDOWS\System32\spmsg.dll -->08/10/2007 14:46:18
    C:\WINDOWS\System32\javaws.exe -->24/09/2007 22:31:42
    C:\WINDOWS\System32\javacpl.cpl -->24/09/2007 22:31:42
    C:\WINDOWS\System32\javaw.exe -->24/09/2007 21:30:30
    C:\WINDOWS\System32\java.exe -->24/09/2007 21:30:28
    C:\WINDOWS\System32\TZLog.log -->05/09/2007 05:02:14
    C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 07:17:23
    C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31

    C:\WINDOWS\wiadebug.log -->09/12/2007 08:14:57
    C:\WINDOWS\WindowsUpdate.log -->09/12/2007 08:11:12
    C:\WINDOWS\0.log -->09/12/2007 08:10:07
    C:\WINDOWS\wiaservc.log -->09/12/2007 08:09:37
    C:\WINDOWS\bootstat.dat -->09/12/2007 08:09:01
    C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt -->09/12/2007 06:18:53
    C:\WINDOWS\SchedLgU.Txt -->09/12/2007 06:18:52
    C:\WINDOWS\setupapi.log -->08/12/2007 18:26:38
    C:\WINDOWS\WININIT.INI -->28/11/2007 06:34:38
    C:\WINDOWS\rearede.exe -->30/10/2007 05:46:49
    C:\WINDOWS\pack.epk -->04/10/2007 05:25:55
    C:\WINDOWS\win.ini -->16/08/2007 06:56:48
    C:\WINDOWS\explorer.exe -->13/06/2007 14:22:28
    C:\WINDOWS\NAVIGMA.INI -->26/01/2007 14:54:13
    C:\WINDOWS\GalleryPlayer Images Uninstaller.exe -->17/01/2007 23:11:15

    winlogon.exe
    Verified: Signed
    svchost.exe
    Verified: Signed
    ws2_32.dll
    Verified: Signed
    user32.dll
    Verified: Signed
    tcpip.sys
    Verified: Signed
    ndis.sys
    Verified: Signed
    null.sys
    Verified: Signed

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    explorer.exe pid: 1752
    Command line: C:\WINDOWS\Explorer.EXE

    Base Size Version Path
    0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll
    0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
    0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
    0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
    0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll
    0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
    0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll
    0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll
    0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
    0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
    0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
    0x636e0000 0x29000 5.00.0005.0024 C:\Program Files\Spyware Doctor\smumhook.dll
    0x5a000000 0x1e000 5.00.0005.0001 C:\Program Files\Spyware Doctor\klg.dat
    0x032b0000 0x11a000 1.05.0000.0008 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x03980000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x03f50000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
    0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
    0x10000000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
    0x015b0000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    winlogon.exe pid: 916
    Command line: winlogon.exe

    Base Size Version Path
    0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
    0x636e0000 0x29000 5.00.0005.0024 C:\Program Files\Spyware Doctor\smumhook.dll
    0x5a000000 0x1e000 5.00.0005.0001 C:\Program Files\Spyware Doctor\klg.dat

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\WINDOWS\system32

    25/03/2006 05:00 6 144 csrss.exe
    1 fichier(s) 6 144 octets
    0 Rép(s) 49 289 760 768 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\WINDOWS\Downloaded Program Files

    08/12/2007 06:26 <REP> .
    08/12/2007 06:26 <REP> ..
    29/06/2006 10:09 65 desktop.ini
    26/07/2002 01:13 24 576 dwusplay.dll
    26/07/2002 01:13 196 608 dwusplay.exe
    27/07/2004 11:48 323 584 isusweb.dll
    07/01/2007 12:55 2 305 kavwebscan.inf
    09/11/2006 02:36 5 019 swflash.inf
    6 fichier(s) 552 157 octets

    Total des fichiers listés :
    6 fichier(s) 552 157 octets
    2 Rép(s) 49 289 760 768 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
    "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
    "%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

    Export de la clef SharedTaskScheduler

    [SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    exports des policies
    REGEDIT4

    [system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001
    "InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
    63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
    6d,73,73,74,79,6c,65,73,00
    "InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
    73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

    Export des clefs sensibles..
    Rechercher adresses sensibles dans le fichier HOSTS...
    127.0.0.1 activexupdate.com
    127.0.0.1 www.activexupdate.com
    127.0.0.1 avpcheckupdate.com
    127.0.0.1 www.avpcheckupdate.com
    127.0.0.1 client.exeupdate.com
    127.0.0.1 eupdatepage.com
    127.0.0.1 www.eupdatepage.com
    127.0.0.1 exeupdate.com
    127.0.0.1 www.exeupdate.com
    127.0.0.1 hotwinupdates.com
    127.0.0.1 www.hotwinupdates.com
    127.0.0.1 lavasoftupdate.com
    127.0.0.1 www.lavasoftupdate.com
    127.0.0.1 malwarewipeupdate.com
    127.0.0.1 www.malwarewipeupdate.com
    127.0.0.1 msupdate.net
    127.0.0.1 www.msupdate.net
    127.0.0.1 msupdater.net
    127.0.0.1 www.msupdater.net
    127.0.0.1 necessaryupdates.com
    127.0.0.1 www.necessaryupdates.com
    127.0.0.1 newupdates.lzio.com
    127.0.0.1 redirect.msupdate.net
    127.0.0.1 search.keyword.exeupdate.com
    127.0.0.1 securityupdatesite.com
    127.0.0.1 www.securityupdatesite.com
    127.0.0.1 settings.updatemysettings.com
    127.0.0.1 spyaxeupdate.com
    127.0.0.1 www.spyaxeupdate.com
    127.0.0.1 spyfalconupdate.com
    127.0.0.1 www.spyfalconupdate.com
    127.0.0.1 systemupdates.net
    127.0.0.1 www.systemupdates.net
    127.0.0.1 trial.updates.winsoftware.com
    127.0.0.1 updatemysettings.com
    127.0.0.1 www.updatemysettings.com
    127.0.0.1 updates.spywarequake.com
    127.0.0.1 urgentsystemupdate.biz
    127.0.0.1 www.urgentsystemupdate.biz
    127.0.0.1 urgentsystemupdate.com
    127.0.0.1 www.urgentsystemupdate.com
    127.0.0.1 windupdates.com
    127.0.0.1 update.680180.net
    127.0.0.1 pandaantivirus-2007.com
    127.0.0.1 www.pandaantivirus-2007.com
    127.0.0.1 pandadownload-now.com
    127.0.0.1 www.pandadownload-now.com
    127.0.0.1 panda-hq.com
    127.0.0.1 www.panda-hq.com
    catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-09 08:33:08
    Windows 5.1.2600 Service Pack 2 NTFS

    detected NTDLL code modification:
    ZwClose

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden services: 0
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitListHead

    4 - System
    116 - TeaTimer.exe
    348 - ehtray.exe
    356 - HP Wireless Ass
    392 - rundll32.exe
    400 - hpqimzone.exe
    492 - GoogleUpdaterSe
    500 - SynTPEnh.exe
    508 - QPService.exe
    540 - hpwuSchd2.exe
    584 - QLBCTRL.exe
    620 - msdtc.exe
    652 - ashDisp.exe
    684 - issch.exe
    736 - ctfmon.exe
    748 - SDTrayApp.exe
    792 - avgas.exe
    804 - EDICT.EXE
    876 - wmpnscfg.exe
    888 - csrss.exe
    916 - winlogon.exe
    960 - services.exe
    972 - lsass.exe
    1116 - svchost.exe
    1176 - svchost.exe
    1216 - svchost.exe
    1240 - guard.exe
    1396 - ehSched.exe
    1636 - GoogleUpdater.e
    1660 - BoontyBox.exe
    1664 - ashWebSv.exe
    1752 - explorer.exe
    1812 - ashServ.exe
    2052 - svchost.exe
    2176 - ashMaiSv.exe
    2180 - nvsvc32.exe
    2228 - svcntaux.exe
    2464 - swdsvc.exe
    2472 - cmd.exe
    2624 - svchost.exe
    2640 - svchost.exe
    2744 - mcrdsvc.exe
    2800 - mqsvc.exe
    3008 - wmpnetwk.exe
    3128 - iexplore.exe
    3684 - dllhost.exe
    3836 - wmiprvse.exe
    3844 - alg.exe

    Total number of processes = 48
    NOTE: Under WinXP, this will not show all processes.

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    804D7000 - \WINDOWS\system32\ntkrnlpa.exe
    806E2000 - \WINDOWS\system32\hal.dll
    F7987000 - \WINDOWS\system32\KDCOM.DLL
    F7897000 - \WINDOWS\system32\BOOTVID.dll
    F7357000 - ACPI.sys
    F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
    F7346000 - pci.sys
    F7487000 - isapnp.sys
    F7497000 - ohci1394.sys
    F74A7000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
    F798B000 - avgarkt.sys
    F789B000 - compbatt.sys
    F789F000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
    F7A4F000 - pciide.sys
    F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    F798D000 - intelide.sys
    F798F000 - viaide.sys
    F7991000 - aliide.sys
    F7328000 - pcmcia.sys
    F74B7000 - MountMgr.sys
    F7309000 - ftdisk.sys
    F7993000 - dmload.sys
    F72E3000 - dmio.sys
    F78A3000 - ACPIEC.sys
    F7A50000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
    F770F000 - PartMgr.sys
    F74C7000 - VolSnap.sys
    F72CB000 - atapi.sys
    F72B2000 - nvata.sys
    F74D7000 - disk.sys
    F74E7000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    F7292000 - fltMgr.sys
    F7280000 - sr.sys
    F74F7000 - ikfilesec.sys
    F7717000 - PxHelp20.sys
    F7269000 - KSecDD.sys
    F71DC000 - Ntfs.sys
    F71AF000 - NDIS.sys
    F719E000 - Serial.sys
    F7183000 - Mup.sys
    F7667000 - \SystemRoot\system32\DRIVERS\nic1394.sys
    F675E000 - \SystemRoot\system32\DRIVERS\AmdK8.sys
    F7143000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
    F713F000 - \SystemRoot\system32\DRIVERS\cpqbttn.sys
    F674E000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
    F77F7000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
    F713B000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
    F5EC3000 - \SystemRoot\system32\DRIVERS\bcmwl5.sys
    F5B3E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
    F5B2A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    F6D16000 - \SystemRoot\system32\DRIVERS\nvsmu.sys
    F7807000 - \SystemRoot\system32\DRIVERS\usbohci.sys
    F5B07000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
    F77EF000 - \SystemRoot\system32\DRIVERS\usbehci.sys
    F673E000 - \SystemRoot\system32\DRIVERS\imapi.sys
    F672E000 - \SystemRoot\system32\DRIVERS\cdrom.sys
    F671E000 - \SystemRoot\system32\DRIVERS\redbook.sys
    F5AE4000 - \SystemRoot\system32\DRIVERS\ks.sys
    F5AD3000 - \SystemRoot\system32\DRIVERS\sdbus.sys
    F77FF000 - \SystemRoot\system32\DRIVERS\rimmptsk.sys
    F670E000 - \SystemRoot\system32\DRIVERS\rimsptsk.sys
    F5A87000 - \SystemRoot\system32\DRIVERS\rixdptsk.sys
    F5A62000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
    F6D02000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
    F5A17000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
    F59E0000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
    F66FE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
    F780F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
    F59B0000 - \SystemRoot\system32\DRIVERS\SynTP.sys
    F79D3000 - \SystemRoot\system32\DRIVERS\USBD.SYS
    F7817000 - \SystemRoot\system32\DRIVERS\mouclass.sys
    F7B14000 - \SystemRoot\system32\DRIVERS\audstub.sys
    F66EE000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
    F6CFE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
    F5999000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
    F66DE000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
    F66CE000 - \SystemRoot\system32\DRIVERS\raspptp.sys
    F781F000 - \SystemRoot\system32\DRIVERS\TDI.SYS
    F5960000 - \SystemRoot\system32\DRIVERS\psched.sys
    F5FBC000 - \SystemRoot\system32\DRIVERS\msgpc.sys
    F7827000 - \SystemRoot\system32\DRIVERS\ptilink.sys
    F782F000 - \SystemRoot\system32\DRIVERS\raspti.sys
    F592F000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
    F5F9C000 - \SystemRoot\system32\DRIVERS\termdd.sys
    F79D5000 - \SystemRoot\system32\DRIVERS\swenum.sys
    F58FB000 - \SystemRoot\system32\DRIVERS\update.sys
    F794B000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
    F7953000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
    F76A7000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    F63BC000 - \SystemRoot\system32\DRIVERS\usbhub.sys
    F63AC000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
    B9125000 - \SystemRoot\system32\drivers\CHDAud.sys
    B9101000 - \SystemRoot\system32\drivers\portcls.sys
    F638C000 - \SystemRoot\system32\drivers\drmk.sys
    B90BB000 - \SystemRoot\system32\drivers\iksysflt.sys
    BAC01000 - \SystemRoot\system32\drivers\KCOM.SYS
    B90A4000 - \SystemRoot\system32\drivers\iksyssec.sys
    EDC72000 - \SystemRoot\System32\Drivers\i2omgmt.SYS
    EDC70000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    F6402000 - \SystemRoot\System32\Drivers\Null.SYS
    EDC6E000 - \SystemRoot\System32\Drivers\Beep.SYS
    F6401000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
    F63FF000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
    F623B000 - \SystemRoot\system32\DRIVERS\hidusb.sys
    BADAD000 - \SystemRoot\System32\drivers\vga.sys
    EDC6C000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    EDC6A000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
    BADA5000 - \SystemRoot\System32\Drivers\Msfs.SYS
    BAD9D000 - \SystemRoot\System32\Drivers\Npfs.SYS
    F6237000 - \SystemRoot\system32\DRIVERS\rasacd.sys
    B905D000 - \SystemRoot\system32\DRIVERS\ipsec.sys
    B9005000 - \SystemRoot\system32\DRIVERS\tcpip.sys
    BABF1000 - \SystemRoot\System32\Drivers\aswTdi.SYS
    B8F3D000 - \SystemRoot\system32\DRIVERS\netbt.sys
    B8F1B000 - \SystemRoot\System32\drivers\afd.sys
    BABE1000 - \SystemRoot\system32\DRIVERS\netbios.sys
    EDC68000 - \SystemRoot\system32\DRIVERS\eabfiltr.sys
    B8EF0000 - \SystemRoot\system32\DRIVERS\rdbss.sys
    B8E59000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
    BABD1000 - \SystemRoot\System32\Drivers\Fips.SYS
    B8E38000 - \SystemRoot\system32\DRIVERS\ipnat.sys
    BABC1000 - \SystemRoot\system32\DRIVERS\wanarp.sys
    BABB1000 - \SystemRoot\system32\DRIVERS\arp1394.sys
    B8E25000 - \SystemRoot\System32\Drivers\5U870CAP.sys
    BABA1000 - \SystemRoot\System32\Drivers\STREAM.SYS
    BAD95000 - \SystemRoot\System32\Drivers\USBCAMD.SYS
    B9DE0000 - \SystemRoot\system32\DRIVERS\mouhid.sys
    F68FB000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
    B39F0000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
    B29B1000 - \SystemRoot\System32\Drivers\Fastfat.SYS
    B2998000 - \SystemRoot\System32\Drivers\dump_nvata.sys
    B6224000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BF800000 - \SystemRoot\System32\win32k.sys
    B3201000 - \SystemRoot\System32\drivers\Dxapi.sys
    B319C000 - \SystemRoot\System32\watchdog.sys
    BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
    F7B64000 - \SystemRoot\System32\drivers\dxgthk.sys
    BF9D5000 - \SystemRoot\System32\nv4_disp.dll
    F532A000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
    B0CE3000 - \SystemRoot\System32\Drivers\aswMon2.SYS
    F2D6D000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    B0AC6000 - \SystemRoot\system32\drivers\wdmaud.sys
    F2CDD000 - \SystemRoot\system32\drivers\sysaudio.sys
    B07EB000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
    B0692000 - \SystemRoot\System32\Drivers\HTTP.sys
    B05F0000 - \SystemRoot\system32\DRIVERS\srv.sys
    B0676000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
    B0516000 - \??\C:\WINDOWS\system32\drivers\mqac.sys
    B04E4000 - \??\C:\WINDOWS\system32\drivers\RMCast.sys
    F7B54000 - \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
    AF941000 - \SystemRoot\System32\Drivers\aswRdr.SYS
    F7B90000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 152

    Liste des programmes installes

    Adobe Flash Player 9 ActiveX
    Adobe Reader 8.1.1 - Français
    Amélioration de nos services
    Amélioration de nos services
    avast! Antivirus
    AVG Anti-Rootkit Beta
    AVG Anti-Spyware 7.5
    Barre d'outils Outlook de Windows Live (Windows Live Toolbar)
    Bloqueur de fenêtres pop-up (Windows Live Toolbar)
    BoontyBox 2.1
    BufferChm
    CCleaner (remove only)
    Collection Microsoft Encarta 2006 DVD
    Conexant HD Audio
    Connexion Facile à Internet
    Connexion Facile à Internet
    Correctif n° 2 pour Windows XP Édition Media Center 2005
    Correctif pour Lecteur Windows Media 11 (KB939683)
    Correctif pour Windows XP (KB888795)
    Correctif pour Windows XP (KB891593)
    Correctif pour Windows XP (KB896256)
    Correctif pour Windows XP (KB899337)
    Correctif pour Windows XP (KB899510)
    Correctif pour Windows XP (KB902841)
    Correctif pour Windows XP (KB909095)
    Correctif pour Windows XP (KB910728)
    Correctif pour Windows XP (KB912436)
    Correctif pour Windows XP (KB914440)
    Correctif pour Windows XP (KB918005)
    Correctif Windows XP - KB873333
    Correctif Windows XP - KB873339
    Correctif Windows XP - KB883667
    Correctif Windows XP - KB885250
    Correctif Windows XP - KB885835
    Correctif Windows XP - KB885836
    Correctif Windows XP - KB885855
    Correctif Windows XP - KB886185
    Correctif Windows XP - KB887472
    Correctif Windows XP - KB888113
    Correctif Windows XP - KB888239
    Correctif Windows XP - KB888302
    Correctif Windows XP - KB890546
    Correctif Windows XP - KB890859
    Correctif Windows XP - KB891220
    Correctif Windows XP - KB891781
    Correctif Windows XP - KB892559
    Correctif Windows XP - KB895961
    CP_AtenaShokunin1Config
    CP_CalendarTemplates1
    cp_LightScribeConfig
    cp_OnlineProjectsConfig
    CP_Package_Basic1
    CP_Package_Variety1
    CP_Package_Variety2
    CP_Package_Variety3
    CP_Panorama1Config
    cp_PosterPrintConfig
    cp_UpdateProjectsConfig
    CueTour
    Destinations
    DeviceManagementQFolder
    Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)
    Extension de Windows Live Toolbar (Windows Live Toolbar)
    FullDPAppQFolder
    GalleryPlayer Images
    GemMaster Mystic
    Google Earth
    Google Toolbar for Internet Explorer
    Google Toolbar for Internet Explorer
    HijackThis 2.0.2
    Hotfix for Windows Media Format 11 SDK (KB929399)
    Hotfix for Windows Media Player 10 (KB903157)
    Hotfix for Windows XP (KB915865)
    Hotfix for Windows XP (KB926239)
    HP Help and Support
    HP Imaging Device Functions 6.0
    HP Photosmart Premier Software 6.0
    HP Quick Launch Buttons 6.10 A2
    HP QuickPlay 2.3
    HP Update
    HP User Guides 0031
    HP Wireless Assistant 2.00 G2
    HpSdpAppCoreApp
    InstantShareDevices
    J2SE Runtime Environment 5.0 Update 10
    J2SE Runtime Environment 5.0 Update 11
    J2SE Runtime Environment 5.0 Update 6
    Java(TM) 6 Update 2
    Java(TM) 6 Update 3
    Java(TM) SE Runtime Environment 6 Update 1
    Kaspersky Online Scanner
    L&H TTS3000 Français
    Lecteur Windows Media 11
    LightScribe 1.4.97.1
    Macromedia Flash Player 8
    Macromedia Shockwave Player
    Macromedia Shockwave Player
    Menus intelligents (Windows Live Toolbar)
    Micro Application - Le Généalogiste Deluxe 2006
    Microsoft .NET Framework 1.0 Hotfix (KB887998)
    Microsoft .NET Framework 1.0 Hotfix (KB930494)
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1 French Language Pack
    Microsoft .NET Framework 1.1 Hotfix (KB928366)
    Microsoft Compression Client Pack 1.0 for Windows XP
    Microsoft Internationalized Domain Names Mitigation APIs
    Microsoft National Language Support Downlevel APIs
    Microsoft Office Professional Edition 2003
    Microsoft User-Mode Driver Framework Feature Pack 1.0
    Microsoft Works
    Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
    Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
    Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
    Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
    Mise à jour de sécurité pour Windows XP (KB893066)
    Mise à jour de sécurité pour Windows XP (KB893756)
    Mise à jour de sécurité pour Windows XP (KB896358)
    Mise à jour de sécurité pour Windows XP (KB896422)
    Mise à jour de sécurité pour Windows XP (KB896423)
    Mise à jour de sécurité pour Windows XP (KB896424)
    Mise à jour de sécurité pour Windows XP (KB896428)
    Mise à jour de sécurité pour Windows XP (KB899587)
    Mise à jour de sécurité pour Windows XP (KB899591)
    Mise à jour de sécurité pour Windows XP (KB900725)
    Mise à jour de sécurité pour Windows XP (KB901017)
    Mise à jour de sécurité pour Windows XP (KB901190)
    Mise à jour de sécurité pour Windows XP (KB901214)
    Mise à jour de sécurité pour Windows XP (KB902400)
    Mise à jour de sécurité pour Windows XP (KB903235)
    Mise à jour de sécurité pour Windows XP (KB904706)
    Mise à jour de sécurité pour Windows XP (KB905414)
    Mise à jour de sécurité pour Windows XP (KB905749)
    Mise à jour de sécurité pour Windows XP (KB908519)
    Mise à jour de sécurité pour Windows XP (KB911562)
    Mise à jour de sécurité pour Windows XP (KB911927)
    Mise à jour de sécurité pour Windows XP (KB912919)
    Mise à jour de sécurité pour Windows XP (KB913446)
    Mise à jour de sécurité pour Windows XP (KB913580)
    Mise à jour de sécurité pour Windows XP (KB914388)
    Mise à jour de sécurité pour Windows XP (KB914389)
    Mise à jour de sécurité pour Windows XP (KB917344)
    Mise à jour de sécurité pour Windows XP (KB917422)
    Mise à jour de sécurité pour Windows XP (KB917953)
    Mise à jour de sécurité pour Windows XP (KB918118)
    Mise à jour de sécurité pour Windows XP (KB918439)
    Mise à jour de sécurité pour Windows XP (KB919007)
    Mise à jour de sécurité pour Windows XP (KB920213)
    Mise à jour de sécurité pour Windows XP (KB920670)
    Mise à jour de sécurité pour Windows XP (KB920683)
    Mise à jour de sécurité pour Windows XP (KB920685)
    Mise à jour de sécurité pour Windows XP (KB921398)
    Mise à jour de sécurité pour Windows XP (KB921503)
    Mise à jour de sécurité pour Windows XP (KB922616)
    Mise à jour de sécurité pour Windows XP (KB922819)
    Mise à jour de sécurité pour Windows XP (KB923191)
    Mise à jour de sécurité pour Windows XP (KB923414)
    Mise à jour de sécurité pour Windows XP (KB923689)
    Mise à jour de sécurité pour Windows XP (KB923694)
    Mise à jour de sécurité pour Windows XP (KB923980)
    Mise à jour de sécurité pour Windows XP (KB924191)
    Mise à jour de sécurité pour Windows XP (KB924270)
    Mise à jour de sécurité pour Windows XP (KB924496)
    Mise à jour de sécurité pour Windows XP (KB924667)
    Mise à jour de sécurité pour Windows XP (KB925454)
    Mise à jour de sécurité pour Windows XP (KB925902)
    Mise à jour de sécurité pour Windows XP (KB926255)
    Mise à jour de sécurité pour Windows XP (KB926436)
    Mise à jour de sécurité pour Windows XP (KB927779)
    Mise à jour de sécurité pour Windows XP (KB927802)
    Mise à jour de sécurité pour Windows XP (KB928255)
    Mise à jour de sécurité pour Windows XP (KB928843)
    Mise à jour de sécurité pour Windows XP (KB929123)
    Mise à jour de sécurité pour Windows XP (KB930178)
    Mise à jour de sécurité pour Windows XP (KB931261)
    Mise à jour de sécurité pour Windows XP (KB931784)
    Mise à jour de sécurité pour Windows XP (KB932168)
    Mise à jour de sécurité pour Windows XP (KB933729)
    Mise à jour de sécurité pour Windows XP (KB935839)
    Mise à jour de sécurité pour Windows XP (KB935840)
    Mise à jour de sécurité pour Windows XP (KB936021)
    Mise à jour de sécurité pour Windows XP (KB938829)
    Mise à jour de sécurité pour Windows XP (KB941202)
    Mise à jour de sécurité pour Windows XP (KB943460)
    Mise à jour pour Lecteur Windows Media 10 (KB910393)
    Mise à jour pour Lecteur Windows Media 10 (KB913800)
    Mise à jour pour Lecteur Windows Media 10 (KB926251)
    Mise à jour pour Windows XP (KB894391)
    Mise à jour pour Windows XP (KB896727)
    Mise à jour pour Windows XP (KB898461)
    Mise à jour pour Windows XP (KB900485)
    Mise à jour pour Windows XP (KB904942)
    Mise à jour pour Windows XP (KB908531)
    Mise à jour pour Windows XP (KB910437)
    Mise à jour pour Windows XP (KB911164)
    Mise à jour pour Windows XP (KB911280)
    Mise à jour pour Windows XP (KB912945)
    Mise à jour pour Windows XP (KB916595)
    Mise à jour pour Windows XP (KB920872)
    Mise à jour pour Windows XP (KB922582)
    Mise à jour pour Windows XP (KB927891)
    Mise à jour pour Windows XP (KB929338)
    Mise à jour pour Windows XP (KB930916)
    Mise à jour pour Windows XP (KB931836)
    Mise à jour pour Windows XP (KB933360)
    Mise à jour pour Windows XP (KB938828)
    MSN
    MSN Messenger 7.5
    MSXML 4.0 SP2 (KB925672)
    MSXML 4.0 SP2 (KB927978)
    MSXML 4.0 SP2 (KB936181)
    NetWaiting
    NVIDIA Drivers
    OneCare Advisor (Windows Live Toolbar)
    OptionalContentQFolder
    Otto
    Outil de mise à jour Google
    PhotoFiltre
    PhotoGallery
    RandMap
    Security Update for CAPICOM (KB931906)
    Security Update for CAPICOM (KB931906)
    SkinsHP1
    Soft Data Fax Modem with SmartCP
    Sonic Audio Module
    Sonic Copy Module
    Sonic Data Module
    Sonic Express Labeler
    Sonic MyDVD Plus
    Sonic Update Manager
    Sonic_PrimoSDK
    SonicAC3Encoder
    SonicMPEGEncoder
    Sophos Anti-Rootkit 1.3.1
    Spybot - Search & Destroy
    Spyware Doctor 5.1
    Synaptics Pointing Device Driver
    Unload
    WebFldrs XP
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Installer 3.1 (KB893803)
    Windows Internet Explorer 7
    Windows Live Favorites pour Windows Live Toolbar
    Windows Live Toolbar
    Windows Live Toolbar
    Windows Media Connect
    Windows Media Format 11 runtime
    Windows Media Format 11 runtime
    Windows Media Player 11
    Windows XP Media Center Edition 2005 KB925766
    Yahoo! Anti-Spy
    Yahoo! Install Manager

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\Program Files

    07/12/2007 05:09 <REP> .
    07/12/2007 05:09 <REP> ..
    13/08/2007 05:03 <REP> Adobe
    10/01/2007 05:19 <REP> Alice
    11/01/2007 08:50 <REP> Alwil Software
    05/12/2007 06:15 423 736 avg-anti-rootkit_avg_anti-rootkit_1.1.0.42_anglais_34515.exe
    11/01/2007 10:33 <REP> Boonty
    11/01/2007 10:33 <REP> BoontyGames
    08/12/2007 10:44 <REP> CCleaner
    24/10/2007 04:48 <REP> Common Files
    20/09/2006 03:15 <REP> ComPlus Applications
    20/09/2006 07:54 <REP> CONEXANT
    13/08/2007 05:03 <REP> Fichiers communs
    20/09/2006 07:42 <REP> FrenchOtto
    20/09/2006 07:42 <REP> GemMasterFrench
    10/10/2007 04:58 <REP> Google
    08/12/2007 05:24 <REP> GRISOFT
    20/09/2006 08:14 <REP> Hewlett-Packard
    20/09/2006 07:51 <REP> HP
    10/01/2007 04:52 <REP> HPQ
    10/10/2007 10:46 <REP> Internet Explorer
    10/10/2007 05:30 <REP> Java
    11/01/2007 10:33 <REP> Mes Jeux Téléchargés
    13/01/2007 05:23 <REP> Messenger
    26/01/2007 02:49 <REP> Micro Application
    13/05/2007 10:59 <REP> Microsoft CAPICOM 2.1.0.2
    15/01/2007 06:17 <REP> Microsoft Encarta
    20/09/2006 03:15 <REP> microsoft frontpage
    10/01/2007 05:32 <REP> Microsoft Office
    13/01/2007 05:21 <REP> Microsoft Works
    10/01/2007 05:30 <REP> Microsoft.NET
    20/09/2006 03:15 <REP> Movie Maker
    23/02/2007 07:48 <REP> MSN
    20/09/2006 03:15 <REP> MSN Gaming Zone
    17/01/2007 05:45 <REP> MSN Messenger
    13/01/2007 05:21 <REP> MSXML 4.0
    20/09/2006 03:15 <REP> NetMeeting
    20/09/2006 07:54 <REP> NetWaiting
    20/09/2006 03:15 <REP> Online Services
    15/06/2007 11:17 <REP> Outlook Express
    11/01/2007 01:54 <REP> PhotoFiltre
    20/09/2006 07:53 <REP> Services en ligne
    20/09/2006 03:15 <REP> Sonic
    05/12/2007 06:01 <REP> Sophos
    25/11/2007 03:02 <REP> Spybot - Search & Destroy
    07/12/2007 06:34 <REP> Spyware Doctor
    20/09/2006 07:46 <REP> Synaptics
    03/12/2007 06:33 <REP> Trend Micro
    30/11/2007 05:56 <REP> Windows Live Favorites
    30/11/2007 06:00 <REP> Windows Live Toolbar
    30/01/2007 04:25 <REP> Windows Media Connect 2
    30/01/2007 04:25 <REP> Windows Media Player
    20/09/2006 03:15 <REP> Windows NT
    20/09/2006 03:15 <REP> Windows Plus
    13/01/2007 06:46 251 wt3d.ini
    20/09/2006 03:15 <REP> xerox
    31/10/2007 05:56 <REP> Yahoo!
    2 fichier(s) 423 987 octets
    55 Rép(s) 49 289 732 096 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\Program Files\fichiers communs

    13/08/2007 05:03 <REP> .
    13/08/2007 05:03 <REP> ..
    13/08/2007 05:03 <REP> Adobe
    10/01/2007 04:45 <REP> DESIGNER
    20/09/2006 03:15 <REP> HP
    20/09/2006 07:37 <REP> InstallShield
    20/09/2006 03:15 <REP> Java
    20/09/2006 08:03 <REP> LightScribe
    17/02/2007 06:51 <REP> Microsoft Shared
    20/09/2006 03:15 <REP> MSSoap
    20/09/2006 03:15 <REP> ODBC
    20/09/2006 03:15 <REP> Services
    20/09/2006 03:15 <REP> Sonic Shared
    20/09/2006 03:15 <REP> SpeechEngines
    20/09/2006 03:15 <REP> SureThing Shared
    11/01/2007 01:47 <REP> Symantec Shared
    15/06/2007 11:17 <REP> System
    20/09/2006 03:15 <REP> TiVo Shared
    0 fichier(s) 0 octets
    18 Rép(s) 49 289 732 096 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    10/01/2007 04:45 <REP> .
    10/01/2007 04:45 <REP> ..
    10/01/2007 04:45 <REP> 1033
    10/01/2007 04:45 <REP> 1036
    11/07/2003 11:15 1 292 872 MSONSEXT.DLL
    15/07/2003 07:52 35 896 MSOSV.DLL
    03/06/1999 07:09 122 937 MSOWS409.DLL
    07/03/2001 02:00 127 033 MSOWS40c.DLL
    11/07/2003 03:25 80 448 PKMWS.DLL
    5 fichier(s) 1 659 186 octets
    4 Rép(s) 49 289 732 096 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 1CFB-0591

    Répertoire de C:\Program Files\common files

    24/10/2007 04:48 <REP> .
    24/10/2007 04:48 <REP> ..
    24/10/2007 04:48 <REP> Scanner
    0 fichier(s) 0 octets
    3 Rép(s) 49 289 728 000 octets libres

    c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
    c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
    c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
    c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
    c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
    c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\OTMoveIt.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\SDFix.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\catchme.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\diff.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\dumphive.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\find2.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\Fport.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\grep.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\gzip.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\LFiles.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\md5sums.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\pslist.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\sigcheck.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\streams.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\swreg.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\tar.exe
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\sreng2\SREngPS.EXE
    c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
    c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
    c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

    ****** Fin du rapport DiagHelp
    0
  20. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,

    Il me faut aussi le rapport SREng.
    Tu feras aussi ceci :
    * Télécharge navilog1 (Merci il.mafioso!) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Ensuite double clique sur navilog1.exe pour lancer l'installation.
    * Une fois l'installation terminée, le fix s'exécutera automatiquement.
    * (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
    * Laisse-toi guider. Au menu principal, choisis 1 et valides.
    /*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
    * Patiente jusqu'au message : *** Analyse terminée le ..... ***
    * Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
    * Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

    * Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    FillPCA
    0
  21. jjclaude123 Messages postés 23 Date d'inscription   Statut Membre 5
     
    Bonsoir
    J'essaye depuis ce matin de t'adresser le rapport SREng mais contrairement à ce qui est indiqué il ne s'ajoute pas à la discussion.
    J'ai re essayé et on me précise que le message a déjà été envoyé mais il ne figure toujours pas à la suite.
    Au déparrage Spyware Doctor m'indique qu'il bloque Tea Timer.exe (chemin : HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS|CURRENTVERSION\RUN,STARTDRV= C:\WINDOWS\Temp\startdrv.exe) Menace : Rootkit.Agent.EY
    Search Navipromo version 3.3.7 commencé le 09/12/2007 à 19:03:24,17

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 08.12.2007 à 16h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.11
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\application data" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\local settings\application data" *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    *** Analyse terminée le 09/12/2007 à 19:08:18,66 ***
    0
  • 1
  • 2