Sujet Précédent Sujet Suivant

Ordinateur infecte par rootkit.agent.ey

Résolu
jjclaude123 Messages postés 23 Statut Membre -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,nouveau venu sur ce forum, je suis un simple utilisateur de logiciels courants et ne connais pas grand chose à l'informatique.
Mon problème : depuis deux semaines AVAST a détecté un cheval de troie sur mon portable. Il s'agit de Rootkit.Agent.EY qui produit 37 infections. Spywaredoctor en surrpime 35 mais ne peut nettoyer les deux autres qui se trouvent dans les fichiers :
C\WINDOWS\SYSTEME32\drivers\runtime2.sys
C\windows\temp\statrdrv.exe

Je constate une lenteur au démarrage et l'apparition d'une fenêtre qui m'indique :
devadwp.exe a rencontré un problème et doit fermer

Je remercie d'avance l'âme charitable qui pourra m'aider à résoudre ce problème.
Ci-joint le rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:12:31 , on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
A voir également:

34 réponses

  • 1
  • 2
Réponse 1 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonjour,

1/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
# Imprime ceci.
# Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur.
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

# Déroule la liste des instructions ci-dessous :

* En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
* Appuie sur Y pour commencer le script.
* Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

2/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

3/ Pour une meilleure réponse, télécharge le logiciel HijackThis v 2.0.2
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse.

FillPCA
2
Réponse 2 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Re,
Pour le rapport SREng j'ai suivi tes instructions à la lettre donc je ne sais pas.

J'ai téléchargé BFU et suivi la procédure mais quand je clique sur OK après Complete script instruction Windows me dit qu'il travaille en mode sans echec et lorsque je clique Oui sur cette fenêtre je n'ai pas d'option Save mais seulement Execute ou Exit. Est-ce que ce rapport est enregistré ailleurs et sous quel nom ?
1
Réponse 3 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

Si tu as bien créé et enregistré le fichier fix.BFU comme indiqué, il faut redémarrer en mode sans échec puis exécuter BFU.exe, ouvrir le fichier fix.BFU puis cliquer sur execute

Relis bien les instructions données.
1
Réponse 4 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Re,
Décidément je ne comprends pas.
J'ai décompressé BFU dans C:\BFU. J'ai copié les instructions dans le bloc-notes de Windows que j'ai renommé fix.BFU sur le bureau que j'ai déplacé dans c:\BFU où se trouve déjà BFU.exe. Je redémarre en mode sans echec et dans mon compte je double clique sur BFU.exe de C:\BFU. Je configure avec la commande indiquée et après avoir ouvert le dossier jaune je double clique sur fix.bfu. En dessous de script to execute (CRC32 7DCBF-409): apparaît C:\BFU\fix.BFU. J'execute et immédiatement apparaît une fenêtre qui me dit que Windows fonctionne en mode sans echec, j'ai en dessous une petite fenêtre BFU "Completed script execution" et lorsque je clique sur OK je n'ai dans BFU que les commandes Execute et Exit. Si dans la fenêtre Windows je clique OUI je vais directement dans "Mes documents".
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Re, Ca y est j'ai trouvé. Il fallait cocher la dernière option pour avoir accès au rapport que voici :
BFU v1.10.0
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 17:08:56, on 10/12/2007

Option Unload Explorer: Yes
Failed: ServiceStop MEMSWEEP2 (service not found)
Failed: ServiceDisable MEMSWEEP2 (service not found)
Failed: ServiceDelete MEMSWEEP2 (service not found)
Failed: FileDelete C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DFFFC.tmp (operation failed)
Script completed.

SDFix: Version 1.117

Run by JEAN-CLAUDE DASTE on 10/12/2007 at 05:11

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 17:16:27
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Files with Hidden Attributes:

Sat 27 Jan 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Tue 30 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"

Finished!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:28:34 , on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
1
Réponse 6 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

1/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

2/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

3/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
* Choisis Kaspersky.
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

Edite le rapport AVGantispyware et le rapport Kaspersky.

Dis-moi aussi comment le pc se porte.

FillPCA
1
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonjour,
Je constate simplement une lenteur au démarrage et l'apparition d'une fenêtre de Spybot S&D qui signale qu'un élément important du registre a été modifié.
Catégorie : Système Startup Global entry
Modif : valeur supprimée
Elément : clkhost
Ancienne valeur : C:\WINDOWS\devadwp.exe
Faut-il autoriser ou refuser la modif?
Voici les rapports :
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 7:28:41 11/12/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036341.exe -> Downloader.Wixud.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036342.exe -> Downloader.Wixud.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036343.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036344.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036345.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036346.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036347.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036348.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036349.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036350.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036351.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036352.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036353.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036354.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036355.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036356.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036357.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036358.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036359.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036360.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036361.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036362.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036363.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036364.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036365.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036366.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036367.exe -> Heuristic.Win32.Dialer : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036327.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036328.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036329.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036330.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036331.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036332.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036333.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036334.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036335.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036336.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036337.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036338.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036339.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036340.exe -> Trojan.Agent.ckl : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, December 11, 2007 9:07:49 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 11/12/2007
Kaspersky Anti-Virus database records: 479592
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 74693
Number of viruses found: 6
Number of infected objects: 12
Number of suspicious objects: 0
Duration of the scan process: 01:12:57

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\MSHist012007121120071212\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\Perflib_Perfdata_6cc.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF53A2.tmp Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DFBF00.tmp Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/BnnnnBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/VaannnaaBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/Bnnnnn.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4 ZIP: infected - 3 skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\Program Files\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP122\A0015608.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022820.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022831.exe Infected: Trojan-PSW.Win32.Agent.up skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022834.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{92621EF6-7001-4F25-94A6-A8D5A1EACB51}.crmlog Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
C:\WINDOWS\system32\spoolv.exe Infected: Backdoor.Win32.Agent.cpv skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_738.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\spoolw.exe Infected: Trojan-PSW.Win32.Agent.up skipped

Scan process completed.
0
Réponse 7 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Salut,

Il faut bien sûr autoriser cette suppression qui correspond à la suppression d'une valeur de registre infectieuse.

A/ Télécharge et utilise ATFcleaner pour supprimer les fichiers temporaires :
http://pitcatsite.ovh.org/php/ATFCleaner.php

B/
1. Télécharger The Avenger par Swandog46 sur votre Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
· Click sur Avenger.zip pour ouvrir le fichier
· Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
C:\WINDOWS\system32\spoolv.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
· Sous "Script file to execute" choisir "Input Script Manually".
· Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
· Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
· Cliquer Done
· ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
· Répondre "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
· Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
· Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
· Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
· The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse.

C/ Vide le cache de Java comme tu l'as déjà fait.

D/ Refais un scan en ligne avec Kaspersky en ne scannant que la zone critique.

E/ Edite le rapport Avenger et le rapports Kaspersky.

FillPCA
1
Réponse 8 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonjour
Je pense que ça fonctionne beaucoup mieux.
Voici les rapports
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jhyrcaox

*******************

Script file located at: \??\C:\Documents and Settings\cgcstwbf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\spoolv.exe deleted successfully.

File Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. not found!
Deletion of file Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. failed!

Could not process line:
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
Status: 0xc0000034

File si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. not found!
Deletion of file si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. failed!

Could not process line:
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, December 12, 2007 7:17:38 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 12/12/2007
Kaspersky Anti-Virus database records: 480421
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\

Scan Statistics:
Total number of scanned objects: 26076
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:23:41

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{9925D12C-12B9-4D1C-964C-B8542802D3A4}.crmlog Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_710.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DF8CF1.tmp Object is locked skipped
C:\DOCUME~1\JEAN-C~1\LOCALS~1\Temp\~DFB194.tmp Object is locked skipped

Scan process completed.
1
Réponse 9 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

1/ Supprime les outils téléchargés (Avenger etc...). Vide la corbeille.
2/ * Lance OTmoveIT.
* Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargés).

NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder à internet, Autorise le.

* Une liste apparaît dans la partie gauche d'OTmoveIT.
* Un message apparaît pour confirmer le nettoyage. Confirme.
* Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

3/ Ouvre Ccleaner, clique sur lancer le nettoyage.

4/ Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

5/ Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, lopxpMH, ect.....) qui traitent des infections spécifiques et qui sont mis à jour régulièrement. Il est inutile de les garder sur ton PC.
Tu peux par contre, garder AVG Antispyware et CCleaner.

6/ /!\ Maintenant que ton PC n'est plus infecté, désactive puis réactive ta "Restauration du système" afin de créer un point de restauration sain.
Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.
Désactivation:
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.
Activation:
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarrer l'ordinateur.

7/ Comment faire pour...(lettre A): https://forum.pcastuces.com/sujet.asp?f=25&s=3902
Pour améliorer la sécurité de ton PC prend quelques instants pour lire:
Sécuriser son PC +WIFI (versions "hot" & "light"): https://forum.pcastuces.com/default.asp

8/ Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

*** Tes infections : Bck/Agent.HDS, Downloader.Wixud.j, Heuristic.Win32.Dialer, Trojan.Agent.ckl, Trojan.Java.ClassLoader.as***
>> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé : CCM

9/ Tu peux marquer ton sujet comme résolu en cliquant sur le bouton.

10/ Je te conseille enfin de défragmenter ton PC : http://www.coupdepoucepc.com/modules/news/article.php?storyid=218

Bon surf !

FillPCA
1
Réponse 10 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Re,
Un grand merci pour ton aide. Je suis vraiment admiratif, quelle compétence pour comprendre qq chose à tout ce charabia.
J'ai hésité avant de poser mon problème sur ce forum car, après l'avoir consulté plusieurs fois, je pensais que je ne comprendrais rien aux opérations qui me seraient demandées. Eh bien non, aucun problème, même pour un profane. Tes explications sont très détaillées et on arrive à piger malgré que la plupart des outils sont en anglais.
Bravo PhllCA et encore Merci.
1
Réponse 11 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonsoir mais je n'ai plus accès à la restauration des paramètres
0
Réponse 12 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonjour. Ce scan reste sans succès. Merci
0
Réponse 13 / 34
jjclaude123
 
Bonjour PhllPCA et merci de me venir en aide.
Je t'adresse les rapports demandés :

SDFix: Version 1.117

Run by JEAN-CLAUDE DASTE on 08/12/2007 at 10:27

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Service runtime2 - Deleted after Reboot
Service symavc32 - Deleted after Reboot

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\Temp\startdrv.exe - Deleted
C:\WINDOWS\system32\drivers\runtime2.sys - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-08 10:31:59
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000084a

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 27 Jan 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Tue 30 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:07 , on 08/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
0
Réponse 14 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
* Cliquer sur outils>options des dossiers>affichage.
* Sélectionner :
o afficher les fichiers et dossiers cachés,
o décocher "masquer les extensions des fichiers dont le type est connu",
o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

* "appliquer" et "ok"

2/ * Peux-tu tester ceci : C:\WINDOWS\devadwp.exe
* Clique sur ce lien : http://www.virustotal.com/en/indexf.html
* Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
* Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.

Recommence avec celui-ci : C:\WINDOWS\system32\spoolw.exe

FillPCA
0
Réponse 15 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Re et grand merci Rootkit.Agent.EY a disparu.
Après avoir effectué toutes les manipulations dans l'explorateur Windows, je ne trouve pas le fichier devadwp.exe dans le répertoire Windows.

Pour virustotal c'est une version en français donc pas de commande Send j'ai donc cliqué sur envoyer et voilà le rapport :
File spoolw.exe received on 12.07.2007 02:06:34 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 8/32 (25%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.Proxy.origin
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - DLoader.EGSE
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Makplu.A
NOD32v2 - - -
Norman - - DLoader.EGSE
Panda - - Bck/Agent.HDS
Prevx1 - - Malware.Gen
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Hacktool.Spammer
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: 4c6e97584658f20661d33afc176687ba
0
Réponse 16 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

1/ Ouvre Hijackthis>"Do a scan only" et coche ceci :
O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe

Clique sur fix/réparer.

2/ * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

C:\WINDOWS\devadwp.exe
C:\WINDOWS\system32\spoolw.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

3/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

4/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

5/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
* Choisis Kaspersky.
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

6/ Edite le rapport OTMOveIt, AVGantispyware, Kaspersky et un nouveau rapport Hijackthis.

FillPCA
0
jjclaude123
 
Re
Voici tous les rapports demandés :
OTMovelt
C:\WINDOWS\devadwp.exe moved successfully.
C:\WINDOWS\system32\spoolw.exe moved successfully.

Created on 12/08/2007 17:15:40

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 6:17:28 08/12/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP127\A0031409.sys -> Downloader.Agent.acl : Nettoyé.
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP124\A0023920.exe -> Downloader.Agent.ekd : Nettoyé.
C:\WINDOWS\xlaherx.exe -> Downloader.Wixud.j : Nettoyé.
C:\_OTMoveIt\MovedFiles\WINDOWS\devadwp.exe -> Downloader.Wixud.j : Nettoyé.
C:\WINDOWS\ekdia103.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia104.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia105.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia106.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia112.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia128.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia129.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia142.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia143.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia148.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia149.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia155.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia156.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia157.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia159.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia163.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia164.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia167.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia171.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia176.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia177.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia178.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia182.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia184.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\ekdia188.exe -> Heuristic.Win32.Dialer : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@findwhat[1].txt -> TrackingCookie.Findwhat : Nettoyé.
C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\jean-claude_daste@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\WINDOWS\doll104.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll107.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll108.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll125.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll132.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll136.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll139.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll143.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll150.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll161.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll175.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll180.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll188.exe -> Trojan.Agent.ckl : Nettoyé.
C:\WINDOWS\doll196.exe -> Trojan.Agent.ckl : Nettoyé.


Fin du rapport

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Saturday, December 08, 2007 8:35:18 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 8/12/2007
Kaspersky Anti-Virus database records: 477362
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 75637
Number of viruses found: 7
Number of infected objects: 50
Number of suspicious objects: 0
Duration of the scan process: 01:38:47

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\Perflib_Perfdata_16b4.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF6E56.tmp Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Local Settings\Temp\~DF9B7E.tmp Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\JEAN-CLAUDE DASTE\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/BnnnnBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/VaannnaaBaa.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4/Bnnnnn.class Infected: Trojan.Java.ClassLoader.as skipped
C:\Documents and Settings\LocalService\Application Data\Sun\Java\Deployment\cache\6.0\32\7836d960-263bafd4 ZIP: infected - 3 skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP122\A0015608.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022820.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP123\A0022834.exe Infected: Trojan-Dropper.Win32.Agent.cpt skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036327.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036328.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036329.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036330.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036331.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036332.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036333.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036334.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036335.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036336.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036337.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036338.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036339.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036340.exe Infected: Trojan.Win32.Agent.ckl skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036341.exe Infected: Trojan-Downloader.Win32.Wixud.j skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036342.exe Infected: Trojan-Downloader.Win32.Wixud.j skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036343.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036344.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036345.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036346.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036347.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036348.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036349.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036350.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036351.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036352.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036353.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036354.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036355.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036356.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036357.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036358.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036359.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036360.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036361.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036362.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036363.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036364.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036365.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036366.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\A0036367.exe Infected: Trojan.Win32.Agent.cht skipped
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{312F1BB8-6F8C-4C9F-BD43-DE6C480DDC31}.crmlog Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked skipped
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked skipped
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RSUA9M2U\index[2].htm Infected: Trojan-Downloader.JS.Psyme.vd skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked skipped
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked skipped
C:\WINDOWS\system32\msmq\storage\QMLog Object is locked skipped
C:\WINDOWS\system32\spoolv.exe Infected: Backdoor.Win32.Agent.cpv skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_710.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP129\change.log Object is locked skipped

Scan process completed.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:38:44 , on 08/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [clkhost] C:\WINDOWS\devadwp.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolw.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E06FXLRD_14936546] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BoontyBox BoontyGames.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
0
Réponse 17 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,

Il y a des lignes qui résistent. Il y a sans doute un autre rootkit derrière.

1/ Clique sur démarrer>Panneau de configuration>Java
Dans l'onglet général, choisis paramètres dans fichiers temporaires puis choisis "supprimer les fichiers".
Valide en cliquant sur OK.

2/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) :
http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

3/ * Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
* Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
* Ouvre le dossier SReng2 et double-clique sur SREng.exe.
* Clique sur "smart scan".
* Clique sur le bouton "scan".
* Quand l'analyse est terminée, clique sur le bouton "save reports".
* Sauvegarde alors le rapport sur ton bureau.
* Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

FillPCA
0
Réponse 18 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonjour.
J'ai envoyé les deux rapports ce matin mais apparemment ça n'a pas marché. Je te les adresse séparément.
Au démarrage du portable je n'ai plus les deux fenêtres concernant spool.exe et devadwp.exe et je ne constate aucun désagrément dans le fonctionnement de la machine

DiagHelp version v1.4 - http://www.malekal.com
excute le 09/12/2007 à 8:30:58,06

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->09/12/2007 08:30:54
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->09/12/2007 08:30:42
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->09/12/2007 08:30:25
C:\WINDOWS\prefetch\BOONTYBOXENGINE.EXE-025B9439.pf -->09/12/2007 08:27:40
C:\WINDOWS\prefetch\MSHTA.EXE-331DF029.pf -->09/12/2007 08:27:38
C:\WINDOWS\prefetch\RUNDLL32.EXE-17B341D7.pf -->09/12/2007 08:27:29
C:\WINDOWS\prefetch\RUNDLL32.EXE-15830F12.pf -->09/12/2007 08:26:04
C:\WINDOWS\prefetch\UPDATE.EXE-1A7E7F45.pf -->09/12/2007 08:23:13
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->09/12/2007 08:21:20
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->09/12/2007 08:20:48

C:\WINDOWS\System32\drivers\aswmon.sys -->25/10/2007 18:05:36
C:\WINDOWS\System32\drivers\aswmon2.sys -->25/10/2007 18:05:20
C:\WINDOWS\System32\drivers\aswRdr.sys -->25/10/2007 18:03:19
C:\WINDOWS\System32\drivers\aswTdi.sys -->25/10/2007 18:01:34
C:\WINDOWS\System32\drivers\aavmker4.sys -->25/10/2007 17:58:49
C:\WINDOWS\System32\drivers\kcom.sys -->04/10/2007 16:11:00
C:\WINDOWS\System32\drivers\iksyssec.sys -->04/10/2007 16:10:58

C:\WINDOWS\System32\nvapps.xml -->09/12/2007 08:09:08
C:\WINDOWS\System32\zllictbl.dat -->07/12/2007 06:18:15
C:\WINDOWS\System32\wpa.dbl -->07/12/2007 05:51:59
C:\WINDOWS\System32\CONFIG.NT -->26/11/2007 06:14:07
C:\WINDOWS\System32\perfh00C.dat -->16/11/2007 06:06:52
C:\WINDOWS\System32\perfh009.dat -->16/11/2007 06:06:52
C:\WINDOWS\System32\perfc00C.dat -->16/11/2007 06:06:52
C:\WINDOWS\System32\perfc009.dat -->16/11/2007 06:06:52
C:\WINDOWS\System32\PerfStringBackup.INI -->16/11/2007 06:06:51
C:\WINDOWS\System32\spoolv.exe -->13/11/2007 05:50:21
C:\WINDOWS\System32\MRT.exe -->02/11/2007 08:12:57
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
C:\WINDOWS\System32\aswBoot.exe -->25/10/2007 17:24:45
C:\WINDOWS\System32\AVASTSS.scr -->25/10/2007 17:14:25
C:\WINDOWS\System32\LegitCheckControl.dll -->11/10/2007 14:12:48
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->10/10/2007 05:30:51
C:\WINDOWS\System32\spmsg.dll -->08/10/2007 14:46:18
C:\WINDOWS\System32\javaws.exe -->24/09/2007 22:31:42
C:\WINDOWS\System32\javacpl.cpl -->24/09/2007 22:31:42
C:\WINDOWS\System32\javaw.exe -->24/09/2007 21:30:30
C:\WINDOWS\System32\java.exe -->24/09/2007 21:30:28
C:\WINDOWS\System32\TZLog.log -->05/09/2007 05:02:14
C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 07:17:23
C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31

C:\WINDOWS\wiadebug.log -->09/12/2007 08:14:57
C:\WINDOWS\WindowsUpdate.log -->09/12/2007 08:11:12
C:\WINDOWS\0.log -->09/12/2007 08:10:07
C:\WINDOWS\wiaservc.log -->09/12/2007 08:09:37
C:\WINDOWS\bootstat.dat -->09/12/2007 08:09:01
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt -->09/12/2007 06:18:53
C:\WINDOWS\SchedLgU.Txt -->09/12/2007 06:18:52
C:\WINDOWS\setupapi.log -->08/12/2007 18:26:38
C:\WINDOWS\WININIT.INI -->28/11/2007 06:34:38
C:\WINDOWS\rearede.exe -->30/10/2007 05:46:49
C:\WINDOWS\pack.epk -->04/10/2007 05:25:55
C:\WINDOWS\win.ini -->16/08/2007 06:56:48
C:\WINDOWS\explorer.exe -->13/06/2007 14:22:28
C:\WINDOWS\NAVIGMA.INI -->26/01/2007 14:54:13
C:\WINDOWS\GalleryPlayer Images Uninstaller.exe -->17/01/2007 23:11:15

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1752
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x636e0000 0x29000 5.00.0005.0024 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1e000 5.00.0005.0001 C:\Program Files\Spyware Doctor\klg.dat
0x032b0000 0x11a000 1.05.0000.0008 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x03980000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x03f50000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x10000000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x015b0000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 916
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x636e0000 0x29000 5.00.0005.0024 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1e000 5.00.0005.0001 C:\Program Files\Spyware Doctor\klg.dat

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\WINDOWS\system32

25/03/2006 05:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 49 289 760 768 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\WINDOWS\Downloaded Program Files

08/12/2007 06:26 <REP> .
08/12/2007 06:26 <REP> ..
29/06/2006 10:09 65 desktop.ini
26/07/2002 01:13 24 576 dwusplay.dll
26/07/2002 01:13 196 608 dwusplay.exe
27/07/2004 11:48 323 584 isusweb.dll
07/01/2007 12:55 2 305 kavwebscan.inf
09/11/2006 02:36 5 019 swflash.inf
6 fichier(s) 552 157 octets

Total des fichiers listés :
6 fichier(s) 552 157 octets
2 Rép(s) 49 289 760 768 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\spoolv.exe"="C:\\WINDOWS\\system32\\spoolv.exe:*:Disabled:spoolv"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 activexupdate.com
127.0.0.1 www.activexupdate.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 www.avpcheckupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 eupdatepage.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 exeupdate.com
127.0.0.1 www.exeupdate.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 malwarewipeupdate.com
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 msupdate.net
127.0.0.1 www.msupdate.net
127.0.0.1 msupdater.net
127.0.0.1 www.msupdater.net
127.0.0.1 necessaryupdates.com
127.0.0.1 www.necessaryupdates.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 redirect.msupdate.net
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 securityupdatesite.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 systemupdates.net
127.0.0.1 www.systemupdates.net
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 updatemysettings.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 urgentsystemupdate.com
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 windupdates.com
127.0.0.1 update.680180.net
127.0.0.1 pandaantivirus-2007.com
127.0.0.1 www.pandaantivirus-2007.com
127.0.0.1 pandadownload-now.com
127.0.0.1 www.pandadownload-now.com
127.0.0.1 panda-hq.com
127.0.0.1 www.panda-hq.com
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 08:33:08
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
116 - TeaTimer.exe
348 - ehtray.exe
356 - HP Wireless Ass
392 - rundll32.exe
400 - hpqimzone.exe
492 - GoogleUpdaterSe
500 - SynTPEnh.exe
508 - QPService.exe
540 - hpwuSchd2.exe
584 - QLBCTRL.exe
620 - msdtc.exe
652 - ashDisp.exe
684 - issch.exe
736 - ctfmon.exe
748 - SDTrayApp.exe
792 - avgas.exe
804 - EDICT.EXE
876 - wmpnscfg.exe
888 - csrss.exe
916 - winlogon.exe
960 - services.exe
972 - lsass.exe
1116 - svchost.exe
1176 - svchost.exe
1216 - svchost.exe
1240 - guard.exe
1396 - ehSched.exe
1636 - GoogleUpdater.e
1660 - BoontyBox.exe
1664 - ashWebSv.exe
1752 - explorer.exe
1812 - ashServ.exe
2052 - svchost.exe
2176 - ashMaiSv.exe
2180 - nvsvc32.exe
2228 - svcntaux.exe
2464 - swdsvc.exe
2472 - cmd.exe
2624 - svchost.exe
2640 - svchost.exe
2744 - mcrdsvc.exe
2800 - mqsvc.exe
3008 - wmpnetwk.exe
3128 - iexplore.exe
3684 - dllhost.exe
3836 - wmiprvse.exe
3844 - alg.exe

Total number of processes = 48
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F7357000 - ACPI.sys
F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7346000 - pci.sys
F7487000 - isapnp.sys
F7497000 - ohci1394.sys
F74A7000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F798B000 - avgarkt.sys
F789B000 - compbatt.sys
F789F000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F798D000 - intelide.sys
F798F000 - viaide.sys
F7991000 - aliide.sys
F7328000 - pcmcia.sys
F74B7000 - MountMgr.sys
F7309000 - ftdisk.sys
F7993000 - dmload.sys
F72E3000 - dmio.sys
F78A3000 - ACPIEC.sys
F7A50000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F770F000 - PartMgr.sys
F74C7000 - VolSnap.sys
F72CB000 - atapi.sys
F72B2000 - nvata.sys
F74D7000 - disk.sys
F74E7000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7292000 - fltMgr.sys
F7280000 - sr.sys
F74F7000 - ikfilesec.sys
F7717000 - PxHelp20.sys
F7269000 - KSecDD.sys
F71DC000 - Ntfs.sys
F71AF000 - NDIS.sys
F719E000 - Serial.sys
F7183000 - Mup.sys
F7667000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F675E000 - \SystemRoot\system32\DRIVERS\AmdK8.sys
F7143000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F713F000 - \SystemRoot\system32\DRIVERS\cpqbttn.sys
F674E000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F77F7000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F713B000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
F5EC3000 - \SystemRoot\system32\DRIVERS\bcmwl5.sys
F5B3E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F5B2A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F6D16000 - \SystemRoot\system32\DRIVERS\nvsmu.sys
F7807000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F5B07000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F77EF000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F673E000 - \SystemRoot\system32\DRIVERS\imapi.sys
F672E000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F671E000 - \SystemRoot\system32\DRIVERS\redbook.sys
F5AE4000 - \SystemRoot\system32\DRIVERS\ks.sys
F5AD3000 - \SystemRoot\system32\DRIVERS\sdbus.sys
F77FF000 - \SystemRoot\system32\DRIVERS\rimmptsk.sys
F670E000 - \SystemRoot\system32\DRIVERS\rimsptsk.sys
F5A87000 - \SystemRoot\system32\DRIVERS\rixdptsk.sys
F5A62000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F6D02000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
F5A17000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
F59E0000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
F66FE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F780F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F59B0000 - \SystemRoot\system32\DRIVERS\SynTP.sys
F79D3000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7817000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7B14000 - \SystemRoot\system32\DRIVERS\audstub.sys
F66EE000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F6CFE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F5999000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F66DE000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F66CE000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F781F000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F5960000 - \SystemRoot\system32\DRIVERS\psched.sys
F5FBC000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F7827000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F782F000 - \SystemRoot\system32\DRIVERS\raspti.sys
F592F000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F5F9C000 - \SystemRoot\system32\DRIVERS\termdd.sys
F79D5000 - \SystemRoot\system32\DRIVERS\swenum.sys
F58FB000 - \SystemRoot\system32\DRIVERS\update.sys
F794B000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7953000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
F76A7000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F63BC000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F63AC000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
B9125000 - \SystemRoot\system32\drivers\CHDAud.sys
B9101000 - \SystemRoot\system32\drivers\portcls.sys
F638C000 - \SystemRoot\system32\drivers\drmk.sys
B90BB000 - \SystemRoot\system32\drivers\iksysflt.sys
BAC01000 - \SystemRoot\system32\drivers\KCOM.SYS
B90A4000 - \SystemRoot\system32\drivers\iksyssec.sys
EDC72000 - \SystemRoot\System32\Drivers\i2omgmt.SYS
EDC70000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F6402000 - \SystemRoot\System32\Drivers\Null.SYS
EDC6E000 - \SystemRoot\System32\Drivers\Beep.SYS
F6401000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
F63FF000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F623B000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BADAD000 - \SystemRoot\System32\drivers\vga.sys
EDC6C000 - \SystemRoot\System32\Drivers\mnmdd.SYS
EDC6A000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BADA5000 - \SystemRoot\System32\Drivers\Msfs.SYS
BAD9D000 - \SystemRoot\System32\Drivers\Npfs.SYS
F6237000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B905D000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B9005000 - \SystemRoot\system32\DRIVERS\tcpip.sys
BABF1000 - \SystemRoot\System32\Drivers\aswTdi.SYS
B8F3D000 - \SystemRoot\system32\DRIVERS\netbt.sys
B8F1B000 - \SystemRoot\System32\drivers\afd.sys
BABE1000 - \SystemRoot\system32\DRIVERS\netbios.sys
EDC68000 - \SystemRoot\system32\DRIVERS\eabfiltr.sys
B8EF0000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B8E59000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BABD1000 - \SystemRoot\System32\Drivers\Fips.SYS
B8E38000 - \SystemRoot\system32\DRIVERS\ipnat.sys
BABC1000 - \SystemRoot\system32\DRIVERS\wanarp.sys
BABB1000 - \SystemRoot\system32\DRIVERS\arp1394.sys
B8E25000 - \SystemRoot\System32\Drivers\5U870CAP.sys
BABA1000 - \SystemRoot\System32\Drivers\STREAM.SYS
BAD95000 - \SystemRoot\System32\Drivers\USBCAMD.SYS
B9DE0000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F68FB000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
B39F0000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
B29B1000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B2998000 - \SystemRoot\System32\Drivers\dump_nvata.sys
B6224000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B3201000 - \SystemRoot\System32\drivers\Dxapi.sys
B319C000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7B64000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
F532A000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B0CE3000 - \SystemRoot\System32\Drivers\aswMon2.SYS
F2D6D000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B0AC6000 - \SystemRoot\system32\drivers\wdmaud.sys
F2CDD000 - \SystemRoot\system32\drivers\sysaudio.sys
B07EB000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B0692000 - \SystemRoot\System32\Drivers\HTTP.sys
B05F0000 - \SystemRoot\system32\DRIVERS\srv.sys
B0676000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
B0516000 - \??\C:\WINDOWS\system32\drivers\mqac.sys
B04E4000 - \??\C:\WINDOWS\system32\drivers\RMCast.sys
F7B54000 - \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
AF941000 - \SystemRoot\System32\Drivers\aswRdr.SYS
F7B90000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 152

Liste des programmes installes

Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.1 - Français
Amélioration de nos services
Amélioration de nos services
avast! Antivirus
AVG Anti-Rootkit Beta
AVG Anti-Spyware 7.5
Barre d'outils Outlook de Windows Live (Windows Live Toolbar)
Bloqueur de fenêtres pop-up (Windows Live Toolbar)
BoontyBox 2.1
BufferChm
CCleaner (remove only)
Collection Microsoft Encarta 2006 DVD
Conexant HD Audio
Connexion Facile à Internet
Connexion Facile à Internet
Correctif n° 2 pour Windows XP Édition Media Center 2005
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows XP (KB888795)
Correctif pour Windows XP (KB891593)
Correctif pour Windows XP (KB896256)
Correctif pour Windows XP (KB899337)
Correctif pour Windows XP (KB899510)
Correctif pour Windows XP (KB902841)
Correctif pour Windows XP (KB909095)
Correctif pour Windows XP (KB910728)
Correctif pour Windows XP (KB912436)
Correctif pour Windows XP (KB914440)
Correctif pour Windows XP (KB918005)
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB883667
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB885855
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888113
Correctif Windows XP - KB888239
Correctif Windows XP - KB888302
Correctif Windows XP - KB890546
Correctif Windows XP - KB890859
Correctif Windows XP - KB891220
Correctif Windows XP - KB891781
Correctif Windows XP - KB892559
Correctif Windows XP - KB895961
CP_AtenaShokunin1Config
CP_CalendarTemplates1
cp_LightScribeConfig
cp_OnlineProjectsConfig
CP_Package_Basic1
CP_Package_Variety1
CP_Package_Variety2
CP_Package_Variety3
CP_Panorama1Config
cp_PosterPrintConfig
cp_UpdateProjectsConfig
CueTour
Destinations
DeviceManagementQFolder
Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)
Extension de Windows Live Toolbar (Windows Live Toolbar)
FullDPAppQFolder
GalleryPlayer Images
GemMaster Mystic
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
HP Help and Support
HP Imaging Device Functions 6.0
HP Photosmart Premier Software 6.0
HP Quick Launch Buttons 6.10 A2
HP QuickPlay 2.3
HP Update
HP User Guides 0031
HP Wireless Assistant 2.00 G2
HpSdpAppCoreApp
InstantShareDevices
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Kaspersky Online Scanner
L&H TTS3000 Français
Lecteur Windows Media 11
LightScribe 1.4.97.1
Macromedia Flash Player 8
Macromedia Shockwave Player
Macromedia Shockwave Player
Menus intelligents (Windows Live Toolbar)
Micro Application - Le Généalogiste Deluxe 2006
Microsoft .NET Framework 1.0 Hotfix (KB887998)
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Works
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows XP (KB893066)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901190)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour pour Lecteur Windows Media 10 (KB910393)
Mise à jour pour Lecteur Windows Media 10 (KB913800)
Mise à jour pour Lecteur Windows Media 10 (KB926251)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB904942)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911164)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB912945)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
MSN
MSN Messenger 7.5
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
NetWaiting
NVIDIA Drivers
OneCare Advisor (Windows Live Toolbar)
OptionalContentQFolder
Otto
Outil de mise à jour Google
PhotoFiltre
PhotoGallery
RandMap
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
SkinsHP1
Soft Data Fax Modem with SmartCP
Sonic Audio Module
Sonic Copy Module
Sonic Data Module
Sonic Express Labeler
Sonic MyDVD Plus
Sonic Update Manager
Sonic_PrimoSDK
SonicAC3Encoder
SonicMPEGEncoder
Sophos Anti-Rootkit 1.3.1
Spybot - Search & Destroy
Spyware Doctor 5.1
Synaptics Pointing Device Driver
Unload
WebFldrs XP
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Favorites pour Windows Live Toolbar
Windows Live Toolbar
Windows Live Toolbar
Windows Media Connect
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Media Center Edition 2005 KB925766
Yahoo! Anti-Spy
Yahoo! Install Manager

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\Program Files

07/12/2007 05:09 <REP> .
07/12/2007 05:09 <REP> ..
13/08/2007 05:03 <REP> Adobe
10/01/2007 05:19 <REP> Alice
11/01/2007 08:50 <REP> Alwil Software
05/12/2007 06:15 423 736 avg-anti-rootkit_avg_anti-rootkit_1.1.0.42_anglais_34515.exe
11/01/2007 10:33 <REP> Boonty
11/01/2007 10:33 <REP> BoontyGames
08/12/2007 10:44 <REP> CCleaner
24/10/2007 04:48 <REP> Common Files
20/09/2006 03:15 <REP> ComPlus Applications
20/09/2006 07:54 <REP> CONEXANT
13/08/2007 05:03 <REP> Fichiers communs
20/09/2006 07:42 <REP> FrenchOtto
20/09/2006 07:42 <REP> GemMasterFrench
10/10/2007 04:58 <REP> Google
08/12/2007 05:24 <REP> GRISOFT
20/09/2006 08:14 <REP> Hewlett-Packard
20/09/2006 07:51 <REP> HP
10/01/2007 04:52 <REP> HPQ
10/10/2007 10:46 <REP> Internet Explorer
10/10/2007 05:30 <REP> Java
11/01/2007 10:33 <REP> Mes Jeux Téléchargés
13/01/2007 05:23 <REP> Messenger
26/01/2007 02:49 <REP> Micro Application
13/05/2007 10:59 <REP> Microsoft CAPICOM 2.1.0.2
15/01/2007 06:17 <REP> Microsoft Encarta
20/09/2006 03:15 <REP> microsoft frontpage
10/01/2007 05:32 <REP> Microsoft Office
13/01/2007 05:21 <REP> Microsoft Works
10/01/2007 05:30 <REP> Microsoft.NET
20/09/2006 03:15 <REP> Movie Maker
23/02/2007 07:48 <REP> MSN
20/09/2006 03:15 <REP> MSN Gaming Zone
17/01/2007 05:45 <REP> MSN Messenger
13/01/2007 05:21 <REP> MSXML 4.0
20/09/2006 03:15 <REP> NetMeeting
20/09/2006 07:54 <REP> NetWaiting
20/09/2006 03:15 <REP> Online Services
15/06/2007 11:17 <REP> Outlook Express
11/01/2007 01:54 <REP> PhotoFiltre
20/09/2006 07:53 <REP> Services en ligne
20/09/2006 03:15 <REP> Sonic
05/12/2007 06:01 <REP> Sophos
25/11/2007 03:02 <REP> Spybot - Search & Destroy
07/12/2007 06:34 <REP> Spyware Doctor
20/09/2006 07:46 <REP> Synaptics
03/12/2007 06:33 <REP> Trend Micro
30/11/2007 05:56 <REP> Windows Live Favorites
30/11/2007 06:00 <REP> Windows Live Toolbar
30/01/2007 04:25 <REP> Windows Media Connect 2
30/01/2007 04:25 <REP> Windows Media Player
20/09/2006 03:15 <REP> Windows NT
20/09/2006 03:15 <REP> Windows Plus
13/01/2007 06:46 251 wt3d.ini
20/09/2006 03:15 <REP> xerox
31/10/2007 05:56 <REP> Yahoo!
2 fichier(s) 423 987 octets
55 Rép(s) 49 289 732 096 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\Program Files\fichiers communs

13/08/2007 05:03 <REP> .
13/08/2007 05:03 <REP> ..
13/08/2007 05:03 <REP> Adobe
10/01/2007 04:45 <REP> DESIGNER
20/09/2006 03:15 <REP> HP
20/09/2006 07:37 <REP> InstallShield
20/09/2006 03:15 <REP> Java
20/09/2006 08:03 <REP> LightScribe
17/02/2007 06:51 <REP> Microsoft Shared
20/09/2006 03:15 <REP> MSSoap
20/09/2006 03:15 <REP> ODBC
20/09/2006 03:15 <REP> Services
20/09/2006 03:15 <REP> Sonic Shared
20/09/2006 03:15 <REP> SpeechEngines
20/09/2006 03:15 <REP> SureThing Shared
11/01/2007 01:47 <REP> Symantec Shared
15/06/2007 11:17 <REP> System
20/09/2006 03:15 <REP> TiVo Shared
0 fichier(s) 0 octets
18 Rép(s) 49 289 732 096 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

10/01/2007 04:45 <REP> .
10/01/2007 04:45 <REP> ..
10/01/2007 04:45 <REP> 1033
10/01/2007 04:45 <REP> 1036
11/07/2003 11:15 1 292 872 MSONSEXT.DLL
15/07/2003 07:52 35 896 MSOSV.DLL
03/06/1999 07:09 122 937 MSOWS409.DLL
07/03/2001 02:00 127 033 MSOWS40c.DLL
11/07/2003 03:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 49 289 732 096 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 1CFB-0591

Répertoire de C:\Program Files\common files

24/10/2007 04:48 <REP> .
24/10/2007 04:48 <REP> ..
24/10/2007 04:48 <REP> Scanner
0 fichier(s) 0 octets
3 Rép(s) 49 289 728 000 octets libres

c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
c:\Documents and Settings\Default User\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{52FBAE98-D389-4281-8C14-21B4046CCB4E}\ARPPRODUCTICON.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\Installer\{B16AF568-A644-483C-A6DA-5028CD019C8C}\ARPPRODUCTICON.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\OTMoveIt.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\SDFix.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\JEAN-CLAUDE DASTE\Bureau\sreng2\SREngPS.EXE
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\JEAN-CLAUDE DASTE\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
0
Réponse 19 / 34
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonjour,

Il me faut aussi le rapport SREng.
Tu feras aussi ceci :
* Télécharge navilog1 (Merci il.mafioso!) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

FillPCA
0
Réponse 20 / 34
jjclaude123 Messages postés 23 Statut Membre 5
 
Bonsoir
J'essaye depuis ce matin de t'adresser le rapport SREng mais contrairement à ce qui est indiqué il ne s'ajoute pas à la discussion.
J'ai re essayé et on me précise que le message a déjà été envoyé mais il ne figure toujours pas à la suite.
Au déparrage Spyware Doctor m'indique qu'il bloque Tea Timer.exe (chemin : HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS|CURRENTVERSION\RUN,STARTDRV= C:\WINDOWS\Temp\startdrv.exe) Menace : Rootkit.Agent.EY
Search Navipromo version 3.3.7 commencé le 09/12/2007 à 19:03:24,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 08.12.2007 à 16h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\application data" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\local settings\application data" *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\JEAN-CLAUDE DASTE\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse terminée le 09/12/2007 à 19:08:18,66 ***
0