Sujet Précédent Sujet Suivant

Entrée HijackThis : japknah.dll

Alain -  
Alain038 Messages postés 25 Statut Membre -
Bonjour,

Connaissez-vous cette dll, qui apparaît en O20 dans ce rapport ?
Il y a eu une grosse infection sur ce PC...

Merci
Alain

Logfile of HijackThis v1.99.1
Scan saved at 11:26:27, on 02/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\mail.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\system32\mmc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: japknah - C:\WINDOWS\SYSTEM32\japknah.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe

65 réponses

Précédent
Réponse 41 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
(suite)

1)- Sauvegarde ton registre de la façon suivante:
Lance "regedit" et clique sur "Poste de travail".
Dans le menu fichier choisis "Exporter".
Dans la fenêtre qui s'ouvre, donne un nom à la sauvegarde (par exemple "ma BdR"), et assure-toi que sous "Etendue de l'exportation" (en bas de la page), tu as bien la case "Tout" qui est cochée.
Enregistre la sauvegarde sur le bureau.

2) Relance REGEDIT l'éditeur de registre et navigue jusqu'à la clé:
HKLM\software\microsoft\windows\currentversion\run
Clique-droit sur "Run" et choisis "Autorisations" < http://images0.hiboox.com/images/2407/tjxwy202.jpg >
Tu vas vérifier les autorisations pour chaque groupe d'utilisateurs présents dans la fenêtre. ("System", "Administrateurs", "Utilisateurs" ...)
Tu ne modifies rien mais tu me fais rapport de ce que tu lis ( quelle case cochée ) pour chaque groupe.

3) Maintenant, dans la fenêtre, après avoir sélectionné le groupe “Utilisateurs” ("System" ou "Administrateurs"), tu cliques simplement sur "Contrôle Total", la case doit se cocher.
Ensuite tu cliques sur "Appliquer", puis [OK]. < http://images0.hiboox.com/images/2507/9069n8mr.jpg >
Tu passes la clé Run en "contrôle total" pour les trois groupes "Utilisateurs", "System" et "Administrateurs".
Si tu as un problème pour changer les autorisations, ne vas pas plus loin et dis-moi où ça coince.

Al.
0
Réponse 42 / 65
Alain
 
Bonsoir

Même si je n'ai pas beaucoup de temps ce soir...
Autorisations Administrateurs
https://www.cjoint.com/?cewEepKDee
Autorisations Créateur Propriétaire
https://www.cjoint.com/?cewEC3MqvV
Autorisations System
https://www.cjoint.com/?cewEXXFcEb
Autorisations Utilisateurs
https://www.cjoint.com/?cewFfvHV0W
Autorisations Utilisateurs avec pouvoir
https://www.cjoint.com/?cewFBT5Ahz
0
Réponse 43 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bon,
avec cette configuration, ça devrait marcher.
Tantôt, tu n'avais pas les autorisations pour "Utilisateurs".

à+..
0
Réponse 44 / 65
Alain
 
Bon, ben pourtant, toujours impossible.
Apparemment, je n'ai toujours pas les autorisations pour la clé japknah...

https://www.cjoint.com/?cew4e03ayq

Merci
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut Alain

Exécute cet outil/script < http://www.d2i.ch/pn/telechargement/vbs/DesactiveRestrictionsRegistre.vbs >
Redémarre le PC
Ré-essaie la suppression de la sous-clé japknah

Même en cas de réussite, applique les analyses du post suivant.

Merci
Al
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
(suite)
C'est gênant.
Pas de réponse de Malekal_morte sur le fichier lui envoyé précédemment ?

Je voudrais vérifier ceci, SVP :

A)- Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=4 >
Double-clique VundoFix.exe afin de le lancer.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton « Scan for Vundo ».
Lorsque le scan est complété, clique sur le bouton « Remove Vundo ».
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt

B)- Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
dans ta prochaine réponse.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

C)- Télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

D)- Fais un ScanOnline PANDA ( sous Internet explorer donc )
< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
•- Procédure :
- Branche les disques amovibles.
- "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
•- Note : Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com
NOTE* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as)

E)- - Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan..
Si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc : - - -
Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
- - Ne double-clic pas dessus !! ==> Fais un clic-droit sur le fichier et extraire tout .
- - Un nouveau dossier chercher va être créé DiagHelp
- - Ouvre-le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) < http://img149.imageshack.us/img149/4927/screenshot173gl8.gif >
-Une fenêtre va s'ouvrir, choisis l'option 1
- - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
- - Notes:
Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree
Tu va certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à Internet > accepte.:
Pendant l'analyse, à la fin du rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !
A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip
Envoie le fichier s’il te plaît.
Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter]

- - - A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout - -- A nouveau menu Edition / copier » … dans un nouveau message ici, faire un clic droit / coller.
- Tuto : [ http://www.malekal.com/DiagHelp/DiagHelp.php ]

Courage
Merci
Al.
0
Réponse 46 / 65
Alain
 
Bonsoir

Merci pour la suite.

Rapport VundoFix

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 20:52:15 05/02/2008

Listing files found while scanning....

No infected files were found.

Rapport VirtumundoBegone

[02/05/2008, 21:09:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Tata\Bureau\VirtumundoBeGone.exe" )
[02/05/2008, 21:09:27] - Detected System Information:
[02/05/2008, 21:09:27] - Windows Version: 5.1.2600, Service Pack 2
[02/05/2008, 21:09:27] - Current Username: Valentin (Admin)
[02/05/2008, 21:09:27] - Windows is in NORMAL mode.
[02/05/2008, 21:09:27] - Searching for Browser Helper Objects:
[02/05/2008, 21:09:27] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[02/05/2008, 21:09:27] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[02/05/2008, 21:09:27] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[02/05/2008, 21:09:27] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/05/2008, 21:09:27] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[02/05/2008, 21:09:27] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[02/05/2008, 21:09:27] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/05/2008, 21:09:27] - BHO 8: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[02/05/2008, 21:09:27] - Finished Searching Browser Helper Objects
[02/05/2008, 21:09:27] - Finishing up...
[02/05/2008, 21:09:27] - Nothing found! Exiting...

Rapport ComboFix

ComboFix 08-02.05.3 - Tata 2008-02-05 21:13:23.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1623 [GMT 1:00]
Endroit: C:\Documents and Settings\Tata\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data.\zyhmrwfk.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\drivers\CYM66.sys
C:\WINDOWS\system32\drivers\symavc32.sys . . . . Echec de suppression
C:\WINDOWS\system32\ffdacaacd_r.dll

----- BITS: Possible sites infect‚s -----

hxxp://www.download.windowsupdate.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CYM66

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-05 to 2008-02-05 ))))))))))))))))))))))))))))))))))))
.

2008-02-05 20:52 . 2008-02-05 20:52 <REP> d-------- C:\VundoFix Backups
2008-02-04 22:16 . 2008-02-04 22:16 87,869,804 --a------ C:\BdrValTata.reg
2008-02-04 17:06 . 2008-02-04 17:06 <REP> d-------- C:\Program Files\jv16 PowerTools 2007
2008-02-04 17:06 . 2008-02-04 17:06 23 --a------ C:\WINDOWS\system32\aceaacab7_r.ocx
2008-02-04 16:10 . 2008-02-04 16:18 <REP> d-------- C:\Program Files\RegCleaner
2008-02-04 15:58 . 2008-02-04 15:58 29 --a------ C:\WINDOWS\system32\tppigrrf.tmp
2008-02-04 15:50 . 2008-02-04 15:50 105 --a------ C:\fix.reg
2008-02-04 15:15 . 2008-02-04 15:13 152,934 --a------ C:\OAD.exe
2008-02-04 14:15 . 2008-02-04 14:15 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-02-04 11:04 . 2008-02-04 11:04 <REP> d-------- C:\_OTMoveIt
2008-02-04 09:48 . 2008-02-04 09:46 291,840 --a------ C:\OTMoveIt2.exe
2008-02-03 21:35 . 2008-02-03 21:35 <REP> d-------- C:\clean
2008-02-02 21:25 . 2008-02-02 21:25 <REP> d-------- C:\Program Files\Trend Micro
2008-02-02 18:51 . 2008-02-02 18:51 <REP> d-------- C:\Documents and Settings\Tata\Application Data\Apple Computer
2008-02-02 18:27 . 2008-02-02 18:27 <REP> d-------- C:\IEBlocker
2008-02-02 17:31 . 2006-08-23 23:39 42,920 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-02 17:31 . 2008-02-02 17:32 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-02 17:30 . 2008-02-02 17:30 <REP> d-------- C:\Program Files\Zone Labs
2008-02-02 17:13 . 2007-01-25 17:34 14,364,584 --a------ C:\zonealarm_zone_alarm_version_gratuite_6.5.737.000_francais_10494.exe
2008-02-02 16:09 . 2008-02-02 16:10 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-02 16:08 . 2008-02-02 16:08 <REP> d-------- C:\SDFix
2008-02-02 14:41 . 2008-02-05 20:51 <REP> d-------- C:\WINDOWS\Internet Logs
2008-01-30 22:51 . 2008-01-30 22:53 <REP> d-------- C:\Program Files\CCleaner
2008-01-30 22:12 . 2008-01-30 22:12 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-01-30 22:12 . 2008-02-04 23:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-30 22:08 . 2008-02-02 17:25 <REP> d-------- C:\Program Files\HijackThis1
2008-01-30 21:18 . 2008-01-30 21:18 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-01-24 13:10 . 2008-01-24 13:10 22,016 --ahs---- C:\WINDOWS\system32\adsldpcf.dll
2008-01-24 12:54 . 2008-01-24 12:52 38,400 -r-hs---- C:\WINDOWS\system32\12520437l.exe
2008-01-24 12:52 . 2008-01-24 12:52 38,400 -r-hs---- C:\WINDOWS\system32\acodep.exe
2008-01-24 12:52 . 2008-01-24 13:10 87 --a-s---- C:\WINDOWS\system32\2609776527.dat
2008-01-24 10:54 . 2008-01-24 10:58 167,936 --a------ C:\WINDOWS\system32\drivers\symavc32.sys
2008-01-23 23:54 . 2008-01-23 23:54 <REP> d-------- C:\Documents and Settings\Tata\Application Data\XPdefender
2008-01-23 22:33 . 2008-01-30 21:33 45,056 --a------ C:\WINDOWS\fmjqlgfe.exe
2008-01-23 22:32 . 2008-01-23 22:32 1,595 --a------ C:\WINDOWS\system32\lolol.hta
2008-01-23 21:39 . 2008-01-23 21:39 193,536 --a------ C:\WINDOWS\gterupgp.dll
2008-01-23 13:17 . 18,688 C:\WINDOWS\system32\drivers\ixyisxnz.dat
2008-01-23 13:17 . 5,120 C:\WINDOWS\system32\drivers\unolaivy.dat
2008-01-22 22:12 . 2008-01-22 22:12 25,984 --a------ C:\WINDOWS\system32\drivers\Onh64.sys
2008-01-20 19:20 . 2008-01-30 21:32 9,296 --a------ C:\Documents and Settings\Tata\hupqkh.exe
2008-01-20 19:15 . 2008-01-30 21:32 9,296 --a------ C:\Documents and Settings\Tata\ulyrqt.exe
2008-01-20 19:13 . 2008-01-30 21:32 9,296 --a------ C:\Documents and Settings\Tata\iwmdlt.exe
2008-01-20 19:11 . 2008-01-30 21:32 9,296 --a------ C:\Documents and Settings\Tata\ziqpmm.exe
2008-01-20 19:07 . 2008-01-30 21:32 9,296 --a------ C:\Documents and Settings\Tata\zovsuz.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 20:17 --------- d-----w C:\Program Files\Wanadoo
2008-02-02 17:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-30 20:33 9,709,568 ----a-w C:\WINDOWS\RTLCPL.exe
2008-01-30 20:33 86,016 ----a-w C:\WINDOWS\SoundMan.exe
2008-01-30 20:33 81,920 ----a-w C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-01-30 20:33 69,632 ----a-w C:\WINDOWS\Alcmtr.exe
2008-01-30 20:33 524,288 ----a-w C:\WINDOWS\Alaunch.exe
2008-01-30 20:33 364,544 ----a-w C:\WINDOWS\RtlUpd.exe
2008-01-30 20:33 327,168 ----a-w C:\WINDOWS\IsUn040c.exe
2008-01-30 20:33 32,768 ----a-w C:\WINDOWS\AMove.exe
2008-01-30 20:33 303,104 ----a-w C:\WINDOWS\CreateLnk.exe
2008-01-30 20:33 298,496 ----a-w C:\WINDOWS\unin040c.exe
2008-01-30 20:33 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2008-01-30 20:33 253,952 ----a-w C:\WINDOWS\Clearlnk.exe
2008-01-30 20:33 24,576 ----a-w C:\WINDOWS\APanel.exe
2008-01-30 20:33 23,040 ----a-w C:\WINDOWS\kb913800.exe
2008-01-30 20:33 2,879,488 ----a-w C:\WINDOWS\SkyTel.exe
2008-01-30 20:33 2,808,832 ----a-w C:\WINDOWS\alcwzrd.exe
2008-01-30 20:33 2,158,592 ----a-w C:\WINDOWS\MicCal.exe
2008-01-30 20:33 187,392 ----a-w C:\WINDOWS\comsummer.scr
2008-01-30 20:33 127,034 ----a-w C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-01-30 20:32 13,446,648 ----a-w C:\Program Files\setupfre.exe
2008-01-23 12:16 --------- d-----w C:\Documents and Settings\Tata\Application Data\OpenOffice.org2
2008-01-20 17:59 --------- d-----w C:\Documents and Settings\Tata\Application Data\OpenOffice.org2
2008-01-01 21:02 --------- d-----w C:\Program Files\QuickTime
2008-01-01 21:02 --------- d-----w C:\Program Files\iTunes
2008-01-01 21:02 --------- d-----w C:\Program Files\iPod
2008-01-01 21:02 --------- d-----w C:\Documents and Settings\Toto\Application Data\Apple Computer
2008-01-01 21:01 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-01-01 21:01 --------- d-----w C:\Program Files\Apple Software Update
2008-01-01 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-12-10 19:39 --------- d-----w C:\Documents and Settings\Toto\Application Data\CyberLink
2007-12-06 17:44 --------- d-----w C:\Program Files\Fichiers communs\SWF Studio
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-31 13:43 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 17:48 16208384 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2008-01-30 21:33 2879488 C:\WINDOWS\SkyTel.exe]
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2008-01-30 21:33 45056]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 19:54 49152]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00 345088]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-05 23:03 185896]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2008-01-30 21:33 32768]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-30 21:33 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:47 7573504]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\japknah]
japknah.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer WLAN 11g USB Dongle.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer WLAN 11g USB Dongle.lnk
backup=C:\WINDOWS\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

R0 tddlctww;tddlctww;C:\WINDOWS\system32\drivers\ixyisxnz.dat []
R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 18:14]
R2 OPTENET_FILTER;Control Parental;C:\Program Files\Controle Parental\bin\optproxy.exe [2006-03-02 16:10]
R3 Hauppauge WinTV-HVR-1110;Hauppauge WinTV-HVR-1110 PCI Card;C:\WINDOWS\system32\DRIVERS\HVR1110.sys [2006-05-25 02:15]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R3 psdfilter;psdfilter;C:\WINDOWS\system32\Drivers\psdfilter.sys [2006-04-07 20:17]
R3 psdvdisk;psdvdisk;C:\WINDOWS\system32\Drivers\psdvdisk.sys [2006-03-08 17:10]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 17:44]
S3 Onh64;Onh64;C:\WINDOWS\System32\drivers\Onh64.sys [2008-01-22 22:12]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-03-01 18:37]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 10:38]

*Newly Created Service* - UBHELPER
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 21:01:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 21:17:34
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-05 21:19:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-05 20:19:36
.
2008-01-09 21:27:32 --- E O F ---

Scan en ligne pas encore fait...
0
Réponse 47 / 65
Alain038 Messages postés 25 Statut Membre 1
 
Suite des rapports

Scan en ligne Panda Security

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-02-05 22:28:01
PROTECTIONS: 1
MALWARE: 18
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.7.1098 [VPS 080205-0] 4.7.1098 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@doubleclick[1].txt
00139535 Application/Processor HackTools No 0 No No K:\UTILS\VirtumundoBeGone.exe[²ƒÇ]
00139535 Application/Processor HackTools No 0 Yes No C:\SDFix\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Tata\Bureau\VirtumundoBeGone.exe[²ƒÇ]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@tradedoubler[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@xiti[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@weborama[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@advertising[1].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Tata\Cookies\Tata@bluestreak[1].txt
00238695 Application/Pskill.K HackTools No 0 Yes No K:\UTILS\CLEAN.ZIP[clean/pskill.exe]
00238695 Application/Pskill.K HackTools No 0 Yes No C:\clean\pskill.exe
00519333 Application/Processor HackTools No 0 Yes No K:\UTILS\VirtumundoBeGone.exe
00519333 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Tata\Bureau\VirtumundoBeGone.exe
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP4\A0005986.EXE
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP4\A0005963.EXE
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP4\A0006021.com
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Tata\Bureau\ComboFix.exe[327882R2FWJFW\nircmd.com]
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Tata\Bureau\ComboFix.exe[327882R2FWJFW\nircmd.cfexe]
01262593 Application/NirCmd.A HackTools No 0 No No K:\UTILS\ComboFix.exe[327882R2FWJFW\nircmd.com]
01262593 Application/NirCmd.A HackTools No 0 No No K:\UTILS\ComboFix.exe[327882R2FWJFW\nircmd.cfexe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\Nircmd.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP4\A0005984.sys
02892603 W32/IRCBot.BPQ.worm Virus/Worm No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\naked0453.com
02893791 Trj/Spammer.ADX Virus/Trojan No 1 Yes No C:\SDFix\SDFix\backups\backups.zip[backups/Yil48.sys]
02893791 Trj/Spammer.ADX Virus/Trojan No 1 Yes No C:\Documents and Settings\Toto\Bureau\catchme.zip[YIL48.sys]
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\lppdge.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\mfpfsw.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\ddpgki.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\npxqif.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\nygfyb.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\qguevw.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\tugawl.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Toto\ulyrqt.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\ywsrlh.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\zltsym.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Toto\iwmdlt.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\catyrs.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\aezlll.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\gchnly.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Toto\ziqpmm.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\fzyeru.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Toto\zovsuz.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\urufwd.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\elppep.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Toto\hupqkh.exe
02893982 Spyware/Vundo Spyware No 0 Yes No C:\Documents and Settings\Tata\Mes documents\PToto\iinvip.exe
02895118 Trj/Spammer.AFL Virus/Trojan No 0 Yes No C:\Documents and Settings\Toto\Bureau\catchme.zip[astq.tga]
02895511 Trj/Downloader.SGB Virus/Trojan No 1 Yes No C:\SDFix\SDFix\backups\backups.zip[backups/mrofinu1148.exe]
02895710 Application/WinXPPerformance HackTools No 0 Yes No C:\SDFix\SDFix\backups\backups.zip[backups/qakFs08c8cwp.exe]
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Rapport DiagHelp

DiagHelp version v1.4 - http://www.malekal.com
excute le 05/02/2008 à 22:40:16,07

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->05/02/2008 22:40:10
C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->05/02/2008 22:40:07
C:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->05/02/2008 22:38:54
C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->05/02/2008 22:38:19
C:\WINDOWS\prefetch\MSN_SL.EXE-2BF0761D.pf -->05/02/2008 22:35:09
C:\WINDOWS\prefetch\QTTASK.EXE-1876A1A1.pf -->05/02/2008 22:34:57
C:\WINDOWS\prefetch\ASHWEBSV.EXE-3530B302.pf -->05/02/2008 22:34:38
C:\WINDOWS\prefetch\ASHMAISV.EXE-072F6A23.pf -->05/02/2008 22:34:37
C:\WINDOWS\prefetch\IEXPLORE.EXE-2D97EBE6.pf -->05/02/2008 22:32:21
C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->05/02/2008 22:31:02

C:\WINDOWS\System32\drivers\symavc32.sys -->24/01/2008 10:58:26
C:\WINDOWS\System32\drivers\ixyisxnz.dat -->23/01/2008 13:17:56
C:\WINDOWS\System32\drivers\unolaivy.dat -->23/01/2008 13:17:53
C:\WINDOWS\System32\drivers\Onh64.sys -->22/01/2008 22:12:01
C:\WINDOWS\System32\drivers\aswmon.sys -->04/12/2007 15:56:02
C:\WINDOWS\System32\drivers\aswmon2.sys -->04/12/2007 15:55:46
C:\WINDOWS\System32\drivers\aswRdr.sys -->04/12/2007 15:53:39

C:\WINDOWS\System32\CONFIG.NT -->05/02/2008 21:46:33
C:\WINDOWS\System32\wpa.dbl -->05/02/2008 21:18:52
C:\WINDOWS\System32\vsconfig.xml -->05/02/2008 21:18:48
C:\WINDOWS\System32\nvapps.xml -->05/02/2008 21:17:31
C:\WINDOWS\System32\FNTCACHE.DAT -->04/02/2008 23:20:59
C:\WINDOWS\System32\aceaacab7_r.ocx -->04/02/2008 17:06:24
C:\WINDOWS\System32\tppigrrf.tmp -->04/02/2008 15:58:26
C:\WINDOWS\System32\zllictbl.dat -->02/02/2008 17:32:24
C:\WINDOWS\System32\2609776527.dat -->24/01/2008 13:10:35
C:\WINDOWS\System32\adsldpcf.dll -->24/01/2008 13:10:25
C:\WINDOWS\System32\12520437l.exe -->24/01/2008 12:52:37
C:\WINDOWS\System32\acodep.exe -->24/01/2008 12:52:31
C:\WINDOWS\System32\lolol.hta -->23/01/2008 22:32:41
C:\WINDOWS\System32\svchost.exe -->21/01/2008 19:54:50
C:\WINDOWS\System32\MRT.exe -->02/01/2008 19:21:36
C:\WINDOWS\System32\TZLog.log -->12/12/2007 22:52:33
C:\WINDOWS\System32\QuickTimeVR.qtx -->11/12/2007 10:57:06
C:\WINDOWS\System32\QuickTime.qts -->11/12/2007 10:57:06
C:\WINDOWS\System32\msvbvm60.dll -->06/12/2007 18:44:01
C:\WINDOWS\System32\aswBoot.exe -->04/12/2007 14:04:28
C:\WINDOWS\System32\AVASTSS.scr -->04/12/2007 13:54:04
C:\WINDOWS\System32\jscript.dll -->14/11/2007 08:28:02
C:\WINDOWS\System32\tzchange.exe -->13/11/2007 12:31:11
C:\WINDOWS\System32\lsasrv.dll -->07/11/2007 10:28:31
C:\WINDOWS\System32\mshtml.dll -->30/10/2007 10:57:54

C:\WINDOWS\setupapi.log -->05/02/2008 21:51:44
C:\WINDOWS\WindowsUpdate.log -->05/02/2008 21:45:54
C:\WINDOWS\0.log -->05/02/2008 21:18:44
C:\WINDOWS\wiaservc.log -->05/02/2008 21:17:53
C:\WINDOWS\wiadebug.log -->05/02/2008 21:17:52
C:\WINDOWS\QTFont.qfn -->05/02/2008 21:17:45
C:\WINDOWS\system.ini -->05/02/2008 21:17:03
C:\WINDOWS\bootstat.dat -->05/02/2008 21:16:30
C:\WINDOWS\SchedLgU.Txt -->04/02/2008 23:31:43
C:\WINDOWS\win.ini -->04/02/2008 22:48:47
C:\WINDOWS\ntbtlog.txt -->04/02/2008 18:30:40
C:\WINDOWS\Sti_Trace.log -->04/02/2008 15:58:33
C:\WINDOWS\unin040c.exe -->30/01/2008 21:33:53
C:\WINDOWS\SoundMan.exe -->30/01/2008 21:33:53
C:\WINDOWS\SkyTel.exe -->30/01/2008 21:33:53

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1540
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x10000000 0xa000 2.02.0000.0009 C:\WINDOWS\system32\MSNCHATHOOK.DLL
0x00bb0000 0x2f000 2.02.0000.0044 C:\WINDOWS\system32\sysenv.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x02030000 0x68000 2.02.0000.0011 C:\WINDOWS\system32\CryptoAPI.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x020a0000 0x102000 7.10.3077.0000 C:\WINDOWS\system32\MFC71U.DLL
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x64f00000 0x12000 4.07.1098.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x00fc0000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x022b0000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x6d600000 0x2d000 5.00.0060.0005 C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02b30000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x02ed0000 0x8000 8.04.0006.1012 C:\Program Files\Logitech\Video\AlbuDBps.dll
0x62390000 0x53000 8.00.0000.9090 C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll
0x60470000 0x18000 8.00.0000.9084 C:\Program Files\OpenOffice.org 2.1\program\uwinapi.dll
0x61ef0000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.1\program\stlport_vc7145.dll
0x029c0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x00c40000 0x14000 2.02.0000.0011 C:\WINDOWS\system32\eDSshellExt.dll
0x7c120000 0x19000 7.10.3077.0000 C:\WINDOWS\system32\ATL71.DLL
0x011c0000 0x24000 8.04.0006.1012 C:\Program Files\Logitech\Video\Namespc2.dll
0x7c140000 0x103000 7.10.3077.0000 C:\WINDOWS\system32\MFC71.DLL
0x5a500000 0x4e000 8.01.0178.0000 C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x16210000 0x27e000 5.02.5721.5145 C:\WINDOWS\system32\wpdshext.dll
0x07160000 0x46000 5.02.5721.5145 C:\WINDOWS\system32\Audiodev.dll
0x15110000 0x25a000 11.00.5721.5145 C:\WINDOWS\system32\WMVCore.DLL
0x11c70000 0x3a000 11.00.5721.5238 C:\WINDOWS\system32\WMASF.DLL
0x5c3b0000 0xb5000 1.00.0000.5325 c:\windows\srchasst\srchui.dll
0x5c480000 0x12000 1.00.0000.5325 c:\windows\srchasst\srchctls.dll
0x711f0000 0xd000 2.00.0000.3424 C:\WINDOWS\msagent\agentdp2.dll
0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll
0x75be0000 0x6f000 5.06.0000.8834 C:\WINDOWS\system32\jscript.dll
------------------------------------------------------------------------------
explorer.exe pid: 1336
Command line: "C:\WINDOWS\explorer.exe" C:\Documents and Settings\Tata\Bureau\DiagHelp

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x10000000 0xa000 2.02.0000.0009 C:\WINDOWS\system32\MSNCHATHOOK.DLL
0x00a50000 0x2f000 2.02.0000.0044 C:\WINDOWS\system32\sysenv.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x00a80000 0x68000 2.02.0000.0011 C:\WINDOWS\system32\CryptoAPI.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x00af0000 0x102000 7.10.3077.0000 C:\WINDOWS\system32\MFC71U.DLL
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x00ef0000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x01470000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x6d600000 0x2d000 5.00.0060.0005 C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x62390000 0x53000 8.00.0000.9090 C:\Program Files\OpenOffice.org 2.1\program\shlxthdl.dll
0x60470000 0x18000 8.00.0000.9084 C:\Program Files\OpenOffice.org 2.1\program\uwinapi.dll
0x61ef0000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.1\program\stlport_vc7145.dll
0x01e20000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 784
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 6.14.0010.4138 C:\WINDOWS\system32\Ati2evxx.dll
0x01e60000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\WINDOWS\system

25/12/1998 06:15 345 983 RCDsetup.exe
1 fichier(s) 345 983 octets
0 Rép(s) 102 611 169 280 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\WINDOWS\system32

10/08/2004 21:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 102 611 169 280 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\WINDOWS\Downloaded Program Files

05/02/2008 21:50 <REP> .
05/02/2008 21:50 <REP> ..
21/08/2007 14:37 124 208 ascstubie.dll
21/08/2007 14:25 395 ascstubie.inf
08/09/2006 11:55 65 desktop.ini
24/10/2006 10:55 1 512 gtdownlr_134.inf
18/07/2007 14:49 12 592 libcomm.dll
22/02/2007 22:41 304 544 MessengerStatsPAClient.dll
09/11/2006 14:36 5 019 swflash.inf
29/06/2007 14:31 405 telechargement-photoweb.inf
02/07/2007 15:24 2 629 632 telechargement-photoweb.ocx
9 fichier(s) 3 078 372 octets

Total des fichiers listés :
9 fichier(s) 3 078 372 octets
2 Rép(s) 102 611 169 280 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 22:41:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\\24\n\21]
"DisplayName"="\x9c00\x31d\x9c00\x31d\1"
"DeviceDesc"="\x9c00\x31d\x9c00\x31d\1"
"ProviderName"="\x27d4\21\xee18\x7c91\x2844\21\b"
"MFG"="\x4dc"
"ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\\xa14\21\x80\xc010\DriverFiles\.INF"
"DeviceInstanceIds"=str(7):"c:\acernb\install\chipset\smbus\smbusati.inf"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
188 - ashMaiSv.exe
200 - ashDisp.exe
324 - RTHDCPL.exe
440 - eDSloader.exe
456 - MemCheck.exe
464 - LVCOMSX.EXE
588 - iPodService.exe
756 - csrss.exe
784 - winlogon.exe
828 - services.exe
840 - lsass.exe
884 - nvsvc32.exe
1004 - TaskBarIcon.exe
1012 - svchost.exe
1088 - iTunesHelper.ex
1104 - svchost.exe
1164 - svchost.exe
1212 - svchost.exe
1316 - vsmon.exe
1332 - zlclient.exe
1336 - explorer.exe
1456 - ctfmon.exe
1540 - explorer.exe
1736 - AppleMobileDevi
1752 - ashServ.exe
1780 - GoogleToolbarNo
1828 - alg.exe
1836 - ehrecvr.exe
2008 - ehSched.exe
2024 - ehtray.exe
2160 - optproxy.exe
2472 - LogitechDesktop
2488 - iexplore.exe
2508 - svchost.exe
2620 - svchost.exe
2728 - mcrdsvc.exe
2820 - iexplore.exe
2888 - iexplore.exe
3080 - ashWebSv.exe
3460 - cmd.exe
3616 - iexplore.exe
3936 - dllhost.exe

Total number of processes = 43
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA778000 - ACPI.sys
BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
BA767000 - pci.sys
BA8A8000 - isapnp.sys
BA8B8000 - ohci1394.sys
BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
BAB28000 - ixyisxnz.dat
BAE70000 - pciide.sys
BAB30000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8D8000 - MountMgr.sys
BA748000 - ftdisk.sys
BADAC000 - dmload.sys
BA722000 - dmio.sys
BAB38000 - PartMgr.sys
BACBC000 - UBHelper.sys
BA8E8000 - VolSnap.sys
BA70A000 - atapi.sys
BA8F8000 - disk.sys
BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA6EA000 - fltMgr.sys
BA6D8000 - sr.sys
BA918000 - PxHelp20.sys
BA6C1000 - KSecDD.sys
BA634000 - Ntfs.sys
BA607000 - NDIS.sys
BA928000 - srescan.sys
BA5EC000 - Mup.sys
BA9A8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B8225000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B8211000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B81AD000 - \SystemRoot\system32\DRIVERS\yk51x86.sys
BAB88000 - \SystemRoot\system32\DRIVERS\usbohci.sys
B818A000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BAB90000 - \SystemRoot\system32\DRIVERS\usbehci.sys
BA9B8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA9C8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA9D8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B8167000 - \SystemRoot\system32\DRIVERS\ks.sys
BADB2000 - \SystemRoot\system32\DRIVERS\NTIDrvr.sys
BABA8000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
B8142000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
B812E000 - \SystemRoot\system32\DRIVERS\parport.sys
BA9E8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BABC0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BABD0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
B811D000 - \SystemRoot\system32\DRIVERS\serial.sys
BAD78000 - \SystemRoot\system32\DRIVERS\serenum.sys
B7FA5000 - \SystemRoot\system32\DRIVERS\HVR1110.sys
BAD7C000 - \SystemRoot\system32\DRIVERS\BdaSup.SYS
BAA08000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BAFAD000 - \SystemRoot\system32\DRIVERS\audstub.sys
BAA68000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAD84000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B7F8E000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BAA78000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BAA88000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BAC00000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B7F7D000 - \SystemRoot\system32\DRIVERS\psched.sys
BAA98000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BAC10000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BAC20000 - \SystemRoot\system32\DRIVERS\raspti.sys
B7F4C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BAAA8000 - \SystemRoot\system32\DRIVERS\termdd.sys
BADD0000 - \SystemRoot\system32\DRIVERS\swenum.sys
B7EF3000 - \SystemRoot\system32\DRIVERS\update.sys
BA5C8000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BAAB8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAAD8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADD6000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B54C5000 - \SystemRoot\system32\drivers\RtkHDAud.sys
B54A3000 - \SystemRoot\system32\drivers\portcls.sys
BAAF8000 - \SystemRoot\system32\drivers\drmk.sys
BADDE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BAF33000 - \SystemRoot\System32\Drivers\Null.SYS
BADE2000 - \SystemRoot\System32\Drivers\Beep.SYS
BAC58000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BAC60000 - \SystemRoot\System32\drivers\vga.sys
BADE6000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BADEA000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BAC70000 - \SystemRoot\System32\Drivers\Msfs.SYS
BAC80000 - \SystemRoot\System32\Drivers\Npfs.SYS
B7EDF000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B5420000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B53C8000 - \SystemRoot\system32\DRIVERS\tcpip.sys
BAB08000 - \SystemRoot\System32\Drivers\aswTdi.SYS
B53A7000 - \SystemRoot\system32\DRIVERS\ipnat.sys
BAB18000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B52DF000 - \SystemRoot\system32\DRIVERS\netbt.sys
BA998000 - \SystemRoot\system32\DRIVERS\arp1394.sys
B5280000 - \SystemRoot\System32\vsdatant.sys
B5923000 - \SystemRoot\system32\DRIVERS\hidusb.sys
B810D000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
B525E000 - \SystemRoot\System32\drivers\afd.sys
B80ED000 - \SystemRoot\system32\DRIVERS\netbios.sys
B5233000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B51C4000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B80DD000 - \SystemRoot\System32\Drivers\Fips.SYS
BACA8000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
B5179000 - \SystemRoot\System32\Drivers\Fastfat.SYS
BAB78000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
B549F000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
B5161000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BAE04000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B5483000 - \SystemRoot\System32\drivers\Dxapi.sys
BABA0000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAEDD000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B3D62000 - \SystemRoot\System32\Drivers\aswMon2.SYS
B3BA5000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B3B68000 - \SystemRoot\system32\drivers\wdmaud.sys
B3DA0000 - \SystemRoot\system32\drivers\sysaudio.sys
B3E70000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B382F000 - \SystemRoot\System32\Drivers\HTTP.sys
B36ED000 - \SystemRoot\system32\DRIVERS\srv.sys
BADEE000 - \SystemRoot\system32\drivers\MSPQM.sys
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
BAC48000 - \??\C:\WINDOWS\system32\Drivers\psdfilter.sys
B237A000 - \SystemRoot\System32\Drivers\aswRdr.SYS
B227B000 - \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
B20DA000 - \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
BAE32000 - \??\C:\WINDOWS\system32\Drivers\PROCEXP90.SYS
B069E000 - \SystemRoot\system32\drivers\kmixer.sys
BAF53000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 129

Liste des programmes installes

802.11 USB Wireless LAN Adapter
Acer eDataSecurity Management
Acer eDataSecurity Management 2.0.3077
Acer Empowering Technology
Acer ePerformance Management
Acer WLAN 11g USB Dongle
Acer WLAN 11g USB Dongle
Adobe Flash Player 9 ActiveX
Adobe Illustrator CS
Adobe Photoshop 5.0
Adobe Reader 7.0.9
Adobe SVG Viewer 3.0
Apple Mobile Device Support
Apple Software Update
ATI Display Driver
AutoUpdate
avast! Antivirus
CCleaner (remove only)
comsummer-1024x768
Contrôle Parental
Correctif n° 2 pour Windows XP Édition Media Center 2005
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows XP (KB888795)
Correctif pour Windows XP (KB891593)
Correctif pour Windows XP (KB893357)
Correctif pour Windows XP (KB896256)
Correctif pour Windows XP (KB898444)
Correctif pour Windows XP (KB899337)
Correctif pour Windows XP (KB899510)
Correctif pour Windows XP (KB902841)
Correctif pour Windows XP (KB906569)
Correctif pour Windows XP (KB914440)
Correctif pour Windows XP (KB935448)
Correctif Windows XP - KB867282
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB887472
Correctif Windows XP - KB888113
Correctif Windows XP - KB888239
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893086
Correctif Windows XP - KB895961
Crazy Taxi
Digimax Master
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
GemMaster Mystic
Gestionnaire Internet
Google Earth
Google Toolbar for Internet Explorer
Hauppauge MCE2005 Software Encoder
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
InterActual Player
iTunes
J2SE Runtime Environment 5.0 Update 6
jv16 PowerTools 2007
Lecteur Windows Media 11
LightScribe 1.4.74.1
Logitech Desktop Messenger
Logitech Print Service
Logitech QuickCam-Software
Microsoft .NET Framework 1.0 Hotfix (KB887998)
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 SR-1 Premium
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899589)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901190)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913433)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB929969)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB939653)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB942615)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour pour Lecteur Windows Media 10 (KB910393)
Mise à jour pour Lecteur Windows Media 10 (KB913800)
Mise à jour pour Lecteur Windows Media 10 (KB926251)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB904942)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB912945)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB942840)
Mise à jour pour Windows XP (KB946627)
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
NTI Backup NOW! 4
NTI Backup NOW! 4
NTI CD & DVD-Maker
NTI CD & DVD-Maker
NVIDIA Drivers
OpenOffice.org 2.1
Otto
Panda TotalScan
Pilotes Canon MP
Pop'em v1.1
PowerDVD
Programme de gestion Camera de Logitech®
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Samsung USB Driver
Sonic Encoders
Spybot - Search & Destroy
Unreal Tournament Demo
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Live Toolbar
Windows Live Toolbar
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Media Center Edition 2005 KB908246
Windows XP Media Center Edition 2005 KB925766
Yahoo! Toolbar
Yahoo! Toolbar avec bloqueur de fenêtres pop-up
ZoneAlarm

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\Program Files

05/02/2008 21:51 <REP> .
05/02/2008 21:51 <REP> ..
13/10/2006 18:48 <REP> Acer WLAN 11g USB Dongle
06/06/2007 13:45 <REP> Adobe
14/03/2007 20:21 <REP> Alwil Software
01/01/2008 22:01 <REP> Apple Software Update
30/01/2008 22:53 <REP> CCleaner
08/09/2006 11:53 <REP> ComPlus Applications
29/11/2006 20:45 <REP> comsummer
15/06/2007 19:09 <REP> Controle Parental
13/10/2006 18:48 <REP> CyberLink
14/10/2007 12:58 <REP> DivX
02/02/2008 16:20 <REP> Fichiers communs
13/10/2006 18:48 <REP> FrenchOtto
13/10/2006 18:48 <REP> GemMasterFrench
30/04/2007 17:23 <REP> Google
02/02/2008 17:25 <REP> HijackThis1
24/11/2007 21:20 <REP> InterActual
12/12/2007 22:52 <REP> Internet Explorer
29/11/2006 20:52 <REP> Inventel
01/01/2008 22:02 <REP> iPod
01/01/2008 22:02 <REP> iTunes
29/11/2006 20:37 <REP> Java
04/02/2008 17:06 <REP> jv16 PowerTools 2007
02/04/2007 00:01 <REP> Logitech
13/10/2006 18:48 <REP> Messenger
13/10/2006 18:48 <REP> microsoft frontpage
14/03/2007 19:54 <REP> Microsoft Office
14/03/2007 19:58 <REP> Microsoft Visual Studio
13/10/2006 18:48 <REP> Movie Maker
02/12/2006 19:54 <REP> MSN
13/10/2006 18:48 <REP> MSN Gaming Zone
09/02/2007 12:01 <REP> MSN Messenger
16/06/2007 21:10 <REP> MSXML 4.0
13/10/2006 18:48 <REP> NetMeeting
13/10/2006 18:48 <REP> NewTech Infosystems
14/06/2007 10:41 <REP> Oca History Tool
13/10/2006 18:49 <REP> Online Services
15/12/2006 21:01 <REP> OpenOffice.org 2.1
16/06/2007 21:10 <REP> Outlook Express
05/02/2008 21:51 <REP> Panda Security
01/01/2008 22:02 <REP> QuickTime
05/04/2007 23:03 <REP> Real
05/07/2007 13:33 <REP> Realtek
04/02/2008 16:18 <REP> RegCleaner
11/03/2007 17:00 <REP> Samsung
08/10/2007 15:14 <REP> Securitoo
13/10/2006 18:49 <REP> Services en ligne
30/01/2008 21:32 13 446 648 setupfre.exe
30/01/2008 22:12 <REP> Spybot - Search & Destroy
02/02/2008 21:25 <REP> Trend Micro
05/02/2008 21:17 <REP> Wanadoo
30/11/2006 21:01 <REP> Windows Live Toolbar
31/12/2006 21:26 <REP> Windows Media Connect 2
31/12/2006 21:26 <REP> Windows Media Player
13/10/2006 18:49 <REP> Windows NT
13/10/2006 18:49 <REP> Windows Plus
29/11/2006 20:45 <REP> WinTV
13/10/2006 18:49 <REP> xerox
29/11/2006 20:44 <REP> Yahoo!
02/02/2008 17:30 <REP> Zone Labs
1 fichier(s) 13 446 648 octets
60 Rép(s) 102 581 391 360 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\Program Files\fichiers communs

02/02/2008 16:20 <REP> .
02/02/2008 16:20 <REP> ..
04/06/2007 16:59 <REP> Adobe
01/01/2008 22:01 <REP> Apple
14/03/2007 19:58 <REP> Designer
30/01/2008 21:33 278 528 FDEUnInstaller.exe
02/04/2007 00:02 <REP> FotoWire
17/08/2007 10:33 <REP> InstallShield
29/11/2006 20:37 <REP> Java
13/10/2006 18:48 <REP> LightScribe
01/04/2007 23:58 <REP> Logitech
14/03/2007 19:58 <REP> Microsoft Shared
13/10/2006 18:48 <REP> MSSoap
13/10/2006 18:48 <REP> muvee Technologies
13/10/2006 18:48 <REP> NewTech Infosystems
13/10/2006 18:48 <REP> ODBC
05/04/2007 23:03 <REP> Real
13/10/2006 18:48 <REP> Services
13/10/2006 18:48 <REP> SpeechEngines
06/12/2007 18:44 <REP> SWF Studio
16/06/2007 21:10 <REP> System
05/04/2007 23:03 <REP> xing shared
1 fichier(s) 278 528 octets
21 Rép(s) 102 581 391 360 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

23/01/2008 22:34 <REP> .
23/01/2008 22:34 <REP> ..
18/05/2001 14:57 561 209 MSONSEXT.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
18/03/1999 05:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 102 581 391 360 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 501C-8B34

Répertoire de C:\

10/08/2004 21:00 400 896 kmd.exe
04/02/2008 15:13 152 934 OAD.exe
04/02/2008 09:46 291 840 OTMoveIt2.exe
25/01/2007 17:34 14 364 584 zonealarm_zone_alarm_version_gratuite_6.5.737.000_francais_10494.exe
4 fichier(s) 15 210 254 octets
0 Rép(s) 102 581 391 360 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.5.0.20\iTunesSetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\uninstaller.exe
c:\Documents and Settings\Toto\hupqkh.exe
c:\Documents and Settings\Toto\iwmdlt.exe
c:\Documents and Settings\Toto\ulyrqt.exe
c:\Documents and Settings\Toto\ziqpmm.exe
c:\Documents and Settings\Toto\zovsuz.exe
c:\Documents and Settings\Toto\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_en_US.exe
c:\Documents and Settings\Toto\Application Data\U3\0FA012606371E8AB\cleanup.exe
c:\Documents and Settings\Toto\Application Data\U3\0FA012606371E8AB\LaunchPad.exe
c:\Documents and Settings\Toto\Mes documents\dsltest2005.exe
c:\Documents and Settings\Tata\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\ARPPRODUCTICON.exe
c:\Documents and Settings\Tata\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
c:\Documents and Settings\Tata\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
c:\Documents and Settings\Tata\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe
c:\Documents and Settings\Tata\Application Data\U3\temp\cleanup.exe
c:\Documents and Settings\Tata\Bureau\ComboFix.exe
c:\Documents and Settings\Tata\Bureau\Google earth.exe
c:\Documents and Settings\Tata\Bureau\VirtumundoBeGone.exe
c:\Documents and Settings\Tata\Bureau\VundoFix.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Tata\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Tata\Mes documents\itunessetup IMPORTANT.exe
c:\Documents and Settings\Tata\Mes documents\Documents Tata\UTDemo348.exe
c:\Documents and Settings\Tata\Mes documents\Documents Tata\Fichiers\MSN Messenger.exe
c:\Documents and Settings\Tata\Mes documents\PToto\aezlll.exe
c:\Documents and Settings\Tata\Mes documents\PToto\catyrs.exe
c:\Documents and Settings\Tata\Mes documents\PToto\ddpgki.exe
c:\Documents and Settings\Tata\Mes documents\PToto\divxinstaller.exe
c:\Documents and Settings\Tata\Mes documents\PToto\elppep.exe
c:\Documents and Settings\Tata\Mes documents\PToto\fzyeru.exe
c:\Documents and Settings\Tata\Mes documents\PToto\gchnly.exe
c:\Documents and Settings\Tata\Mes documents\PToto\iinvip.exe
c:\Documents and Settings\Tata\Mes documents\PToto\lppdge.exe
c:\Documents and Settings\Tata\Mes documents\PToto\mfpfsw.exe
c:\Documents and Settings\Tata\Mes documents\PToto\npxqif.exe
c:\Documents and Settings\Tata\Mes documents\PToto\nygfyb.exe
c:\Documents and Settings\Tata\Mes documents\PToto\qguevw.exe
c:\Documents and Settings\Tata\Mes documents\PToto\tugawl.exe
c:\Documents and Settings\Tata\Mes documents\PToto\urufwd.exe
c:\Documents and Settings\Tata\Mes documents\PToto\ywsrlh.exe
c:\Documents and Settings\Tata\Mes documents\PToto\zltsym.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\All Users\Application Data\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\Toto\Application Data\U3\0FA012606371E8AB\LPSecurityExtension.dll
c:\Documents and Settings\Toto\Application Data\U3\0FA012606371E8AB\u3dapi10.dll
c:\Documents and Settings\Toto\Local Settings\Application Data\Microsoft\Messenger\Brands\FT01\wlmbrand.dll
c:\Documents and Settings\Tata\Application Data\Mozilla\Firefox\Profiles\afa7wyps.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Tata\Application Data\Mozilla\Firefox\Profiles\afa7wyps.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\Tata\Local Settings\Application Data\Microsoft\Messenger\Brands\FT01\wlmbrand.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ACER-DC6C4D74B4.tar.gz a l'adresse http://upload.malekal.com

Voilà, à suivre...
0
Réponse 48 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien
Merci

Ce n'est pas fini.
Nous allons commencer comme ceci, SVP:

1°- Procédure "fix.reg" :

... Pour cela : "clic-droit" de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ), et tu obtiens ceci sur le bureau :< http://img301.imageshack.us/img301/4489/screenshot268qn3.gif >.

- Ouvre-le.
Dans “Format”, veille à bien retirer la coche devant “Retour à la ligne automatique”.
Fais un retour chariot [Enter] après la dernière ligne.
•- "Copier/coller" dedans ce qui est en caractères gras ci-dessous,
( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 - )
( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) , ainsi (par exemple) : < http://img291.imageshack.us/img291/4291/screenshot269mo7.gif >.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
"start"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\symavc32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\symavc32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\symavc32]

- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " < http://img410.imageshack.us/img410/9391/screenshot270jz2.gif >

- Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer] < https://www.hiboox.com >

L'icône de "fix.reg" doit ressembler à cela : < https://www.hiboox.com >

Double-clic sur " fix.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ? "
Si c'est bien le cas, clique sur "oui"

REDÉMARRER LE PC APRÈS AVOIR FINI LE FIX !!

2°- Avec tes fichiers/dossiers toujours affichés, recherche ce fichier (en gras ici) C:\WINDOWS\system32\drivers\symavc32.sys <-- à supprimer .

3°- Recherche ce fichier (en gras ici) dans C:\WINDOWS\TEMP\_it.bat <-- à supprimer

4°- Tenter ensuite la suppr. du fichier japknah.dll en C:\WINDOWS\SYSTEM32\japknah.dll de la ligne 020 récalcitrante.

Donne-moi les résultats, SVP

Merci à Gé.
Bonne chance
Al

0
Réponse 49 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
(suite)

Connais-tu ces deux éléments:

C:\WINDOWS\system32\acodep.exe
C:\WINDOWS\system32\lolol.hta

Es-tu en rapport avec acodep ?
As-tu un blog ?

Merci
Al

C'est presque fini.
Nous sommes plusieurs sur ce problème.
Courage.
0
Réponse 50 / 65
Alain038 Messages postés 25 Statut Membre 1
 
On continue, et merci encore...

1°- Fix.reg appliqué

2°- C:\WINDOWS\system32\drivers\symavc32.sys <-- supprimé .

3°- Recherche ce fichier (en gras ici) dans C:\WINDOWS\TEMP\_it.bat <-- Non présent

4°- Ligne 020 en C:\WINDOWS\SYSTEM32\japknah.dll <-- Toujours présente malgré un fix.

5°- A propos de ces 2 éléments :
Je ne les connais pas, pas de blog...
C:\WINDOWS\system32\acodep.exe <-- Non présent actuellement
C:\WINDOWS\system32\lolol.hta <-- Bien présent

PS : les éléments signalés dans le rapport d'analyse en ligne de Panda n'ont pas été supprimés. Je le fais ?

Alain
0
Réponse 51 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour Alain

Merci pour tes réponses

Fais strictement ceci, SVP ==> en considérant que l'icône de ComboFix est toujours sur le bureau :

1°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\Documents and Settings\Tata\hupqkh.exe
C:\Documents and Settings\Tata\ulyrqt.exe
C:\Documents and Settings\Tata\iwmdlt.exe
C:\Documents and Settings\Tata\ziqpmm.exe
C:\Documents and Settings\Tata\zovsuz.exe
C:\Documents and Settings\Toto\ulyrqt.exe
C:\Documents and Settings\Toto\iwmdlt.exe
C:\Documents and Settings\Toto\ziqpmm.exe
C:\Documents and Settings\Toto\zovsuz.exe
C:\Documents and Settings\Toto\hupqkh.exe
C:\Documents and Settings\Tata\Mes documents\PToto\naked0453.com
C:\Documents and Settings\Tata\Mes documents\PToto\tugawl.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ywsrlh.exe
C:\Documents and Settings\Tata\Mes documents\PToto\zltsym.exe
C:\Documents and Settings\Tata\Mes documents\PToto\catyrs.exe
C:\Documents and Settings\Tata\Mes documents\PToto\aezlll.exe
C:\Documents and Settings\Tata\Mes documents\PToto\gchnly.exe
C:\Documents and Settings\Tata\Mes documents\PToto\fzyeru.exe
C:\Documents and Settings\Tata\Mes documents\PToto\urufwd.exe
C:\Documents and Settings\Tata\Mes documents\PToto\elppep.exe
C:\Documents and Settings\Tata\Mes documents\PToto\iinvip.exe
C:\Documents and Settings\Tata\Mes documents\PToto\lppdge.exe
C:\Documents and Settings\Tata\Mes documents\PToto\mfpfsw.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ddpgki.exe
C:\Documents and Settings\Tata\Mes documents\PToto\npxqif.exe
C:\Documents and Settings\Tata\Mes documents\PToto\nygfyb.exe
C:\Documents and Settings\Tata\Mes documents\PToto\qguevw.exe
C:\WINDOWS\fmjqlgfe.exe
C:\WINDOWS\gterupgp.dll
C:\WINDOWS\system32\tppigrrf.tmp
C:\WINDOWS\system32\12520437l.exe
C:\WINDOWS\system32\adsldpcf.dll
C:\WINDOWS\system32\acodep.exe
C:\WINDOWS\system32\2609776527.dat
C:\WINDOWS\SYSTEM32\2081438578.dat scan: Found nothing
C:\WINDOWS\system32\2609776527.dat
C:\WINDOWS\system32\lolol.hta
C:\WINDOWS\SYSTEM32\japknah.dll
C:\WINDOWS\system32\drivers\ixyisxnz.dat
C:\WINDOWS\system32\drivers\unolaivy.dat
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\Onh64.sys

Driver::
tddlctww
symavc32
Onh64

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\symavc32]
"start"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\symavc32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\symavc32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\symavc32]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\japknah]

4°- Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
(En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). )
Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

8°- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum

Courage
Merci
Al.
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

juste pour suivre la fin du topic
0
Réponse 52 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour Lyonnais

Merci

Tu remarqueras que j'ai fusionné les infos CF/Panda/DiagH.

J'ai suivi aussi pour ce driver : C:\WINDOWS\system32\drivers\unolaivy.dat ==> (pas de service connu sous la forme lisible par le système, donc) ==> d'où suppression du fichier seul. ;) Merci.

Il reste en suspens cette observation en DiagHelp:
tcpip.sys
Verified: Unsigned
Alain, as-tu des difficultés de connexion ?

Alain, il faudra aussi ne pas oublier ceci : ==> Veuillez svp envoyer le fichier C:\upload_moi_ACER-DC6C4D74B4.tar.gz à l'adresse < http://upload.malekal.com > . C'est le concepteur de DiagHelp qui le demande au bas du log DiagHelp.
- Comment envoyer un fichier sur http://upload.malekal.com : < http://www.malekal.com/tuto_upload_fichiers.php > MERCI.

Al.
0
Réponse 53 / 65
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut Lyonnais, re Al' ;-)

merci encore d'etre venu à la rescousse, quand je vois tout ça, je me rends compte a quel point je suis niewby...
c'est de ça dont je te parle dans le dernier mp.

@ +

ps) je regarde en retrait depuis le début...
0
Réponse 54 / 65
Alain038 Messages postés 25 Statut Membre 1
 
Bonjour Al

Points 1 à 8 effectués

Rapport ComboFix

ComboFix 08-02.05.3 - Tata 2008-02-06 13:40:18.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1543 [GMT 1:00]
Endroit: C:\Documents and Settings\Tata\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Tata\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE
C:\Documents and Settings\Toto\hupqkh.exe
C:\Documents and Settings\Toto\iwmdlt.exe
C:\Documents and Settings\Toto\ulyrqt.exe
C:\Documents and Settings\Toto\ziqpmm.exe
C:\Documents and Settings\Toto\zovsuz.exe
C:\Documents and Settings\Tata\hupqkh.exe
C:\Documents and Settings\Tata\iwmdlt.exe
C:\Documents and Settings\Tata\Mes documents\PToto\aezlll.exe
C:\Documents and Settings\Tata\Mes documents\PToto\catyrs.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ddpgki.exe
C:\Documents and Settings\Tata\Mes documents\PToto\elppep.exe
C:\Documents and Settings\Tata\Mes documents\PToto\fzyeru.exe
C:\Documents and Settings\Tata\Mes documents\PToto\gchnly.exe
C:\Documents and Settings\Tata\Mes documents\PToto\iinvip.exe
C:\Documents and Settings\Tata\Mes documents\PToto\lppdge.exe
C:\Documents and Settings\Tata\Mes documents\PToto\mfpfsw.exe
C:\Documents and Settings\Tata\Mes documents\PToto\naked0453.com
C:\Documents and Settings\Tata\Mes documents\PToto\npxqif.exe
C:\Documents and Settings\Tata\Mes documents\PToto\nygfyb.exe
C:\Documents and Settings\Tata\Mes documents\PToto\qguevw.exe
C:\Documents and Settings\Tata\Mes documents\PToto\tugawl.exe
C:\Documents and Settings\Tata\Mes documents\PToto\urufwd.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ywsrlh.exe
C:\Documents and Settings\Tata\Mes documents\PToto\zltsym.exe
C:\Documents and Settings\Tata\ulyrqt.exe
C:\Documents and Settings\Tata\ziqpmm.exe
C:\Documents and Settings\Tata\zovsuz.exe
C:\WINDOWS\fmjqlgfe.exe
C:\WINDOWS\gterupgp.dll
C:\WINDOWS\system32\12520437l.exe
C:\WINDOWS\SYSTEM32\2081438578.dat scan: Found nothing
C:\WINDOWS\system32\2609776527.dat
C:\WINDOWS\system32\acodep.exe
C:\WINDOWS\system32\adsldpcf.dll
C:\WINDOWS\system32\drivers\ixyisxnz.dat
C:\WINDOWS\system32\drivers\Onh64.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\unolaivy.dat
C:\WINDOWS\SYSTEM32\japknah.dll
C:\WINDOWS\system32\lolol.hta
C:\WINDOWS\system32\tppigrrf.tmp
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Toto\hupqkh.exe
C:\Documents and Settings\Toto\iwmdlt.exe
C:\Documents and Settings\Toto\ulyrqt.exe
C:\Documents and Settings\Toto\ziqpmm.exe
C:\Documents and Settings\Toto\zovsuz.exe
C:\Documents and Settings\Tata\Mes documents\PToto\aezlll.exe
C:\Documents and Settings\Tata\Mes documents\PToto\catyrs.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ddpgki.exe
C:\Documents and Settings\Tata\Mes documents\PToto\elppep.exe
C:\Documents and Settings\Tata\Mes documents\PToto\fzyeru.exe
C:\Documents and Settings\Tata\Mes documents\PToto\gchnly.exe
C:\Documents and Settings\Tata\Mes documents\PToto\iinvip.exe
C:\Documents and Settings\Tata\Mes documents\PToto\lppdge.exe
C:\Documents and Settings\Tata\Mes documents\PToto\mfpfsw.exe
C:\Documents and Settings\Tata\Mes documents\PToto\naked0453.com
C:\Documents and Settings\Tata\Mes documents\PToto\npxqif.exe
C:\Documents and Settings\Tata\Mes documents\PToto\nygfyb.exe
C:\Documents and Settings\Tata\Mes documents\PToto\qguevw.exe
C:\Documents and Settings\Tata\Mes documents\PToto\tugawl.exe
C:\Documents and Settings\Tata\Mes documents\PToto\urufwd.exe
C:\Documents and Settings\Tata\Mes documents\PToto\ywsrlh.exe
C:\Documents and Settings\Tata\Mes documents\PToto\zltsym.exe
C:\WINDOWS\fmjqlgfe.exe
C:\WINDOWS\gterupgp.dll
C:\WINDOWS\system32\12520437l.exe
C:\WINDOWS\system32\2609776527.dat
C:\WINDOWS\system32\acodep.exe
C:\WINDOWS\system32\adsldpcf.dll
C:\WINDOWS\system32\drivers\ixyisxnz.dat
C:\WINDOWS\system32\drivers\Onh64.sys
C:\WINDOWS\system32\drivers\unolaivy.dat
C:\WINDOWS\system32\lolol.hta
C:\WINDOWS\system32\tppigrrf.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_TDDLCTWW
-------\Onh64
-------\poof
-------\tddlctww

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
.

2008-02-05 23:29 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-05 22:42 . 2008-02-05 22:42 28,075,720 --a------ C:\upload_moi_ACER-DC6C4D74B4.tar.gz
2008-02-05 21:51 . 2008-02-05 21:51 <REP> d-------- C:\Program Files\Panda Security
2008-02-05 21:42 . 2008-02-05 21:42 131 --a------ C:\Fichiers nomm‚s symavc32.sys.fnd
2008-02-05 21:11 . 2004-08-10 21:00 400,896 --a------ C:\kmd.exe
2008-02-05 20:52 . 2008-02-05 20:52 <REP> d-------- C:\VundoFix Backups
2008-02-04 22:16 . 2008-02-04 22:16 87,869,804 --a------ C:\BdrValToto.reg
2008-02-04 17:06 . 2008-02-04 17:06 <REP> d-------- C:\Program Files\jv16 PowerTools 2007
2008-02-04 17:06 . 2008-02-04 17:06 23 --a------ C:\WINDOWS\system32\aceaacab7_r.ocx
2008-02-04 16:10 . 2008-02-04 16:18 <REP> d-------- C:\Program Files\RegCleaner
2008-02-04 15:50 . 2008-02-04 15:50 105 --a------ C:\fix.reg
2008-02-04 15:15 . 2008-02-04 15:13 152,934 --a------ C:\OAD.exe
2008-02-04 14:15 . 2008-02-04 14:15 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-02-04 11:04 . 2008-02-04 11:04 <REP> d-------- C:\_OTMoveIt
2008-02-04 09:48 . 2008-02-04 09:46 291,840 --a------ C:\OTMoveIt2.exe
2008-02-03 21:35 . 2008-02-03 21:35 <REP> d-------- C:\clean
2008-02-02 21:25 . 2008-02-02 21:25 <REP> d-------- C:\Program Files\Trend Micro
2008-02-02 18:51 . 2008-02-02 18:51 <REP> d-------- C:\Documents and Settings\Toto\Application Data\Apple Computer
2008-02-02 18:27 . 2008-02-02 18:27 <REP> d-------- C:\IEBlocker
2008-02-02 17:31 . 2006-08-23 23:39 42,920 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-02 17:31 . 2008-02-02 17:32 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-02 17:30 . 2008-02-02 17:30 <REP> d-------- C:\Program Files\Zone Labs
2008-02-02 17:13 . 2007-01-25 17:34 14,364,584 --a------ C:\zonealarm_zone_alarm_version_gratuite_6.5.737.000_francais_10494.exe
2008-02-02 16:09 . 2008-02-02 16:10 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-02 16:08 . 2008-02-02 16:08 <REP> d-------- C:\SDFix
2008-02-02 14:41 . 2008-02-06 13:42 <REP> d-------- C:\WINDOWS\Internet Logs
2008-01-30 22:51 . 2008-01-30 22:53 <REP> d-------- C:\Program Files\CCleaner
2008-01-30 22:12 . 2008-01-30 22:12 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-01-30 22:12 . 2008-02-04 23:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-30 22:08 . 2008-02-02 17:25 <REP> d-------- C:\Program Files\HijackThis1
2008-01-30 21:18 . 2008-01-30 21:18 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-01-23 23:54 . 2008-01-23 23:54 <REP> d-------- C:\Documents and Settings\Tata\Application Data\XPdefender

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 12:44 --------- d-----w C:\Program Files\Wanadoo
2008-02-05 22:29 --------- d-----w C:\Program Files\Java
2008-02-02 17:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-30 20:33 9,709,568 ----a-w C:\WINDOWS\RTLCPL.exe
2008-01-30 20:33 86,016 ----a-w C:\WINDOWS\SoundMan.exe
2008-01-30 20:33 81,920 ----a-w C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-01-30 20:33 69,632 ----a-w C:\WINDOWS\Alcmtr.exe
2008-01-30 20:33 524,288 ----a-w C:\WINDOWS\Alaunch.exe
2008-01-30 20:33 364,544 ----a-w C:\WINDOWS\RtlUpd.exe
2008-01-30 20:33 327,168 ----a-w C:\WINDOWS\IsUn040c.exe
2008-01-30 20:33 32,768 ----a-w C:\WINDOWS\AMove.exe
2008-01-30 20:33 303,104 ----a-w C:\WINDOWS\CreateLnk.exe
2008-01-30 20:33 298,496 ----a-w C:\WINDOWS\unin040c.exe
2008-01-30 20:33 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2008-01-30 20:33 253,952 ----a-w C:\WINDOWS\Clearlnk.exe
2008-01-30 20:33 24,576 ----a-w C:\WINDOWS\APanel.exe
2008-01-30 20:33 23,040 ----a-w C:\WINDOWS\kb913800.exe
2008-01-30 20:33 2,879,488 ----a-w C:\WINDOWS\SkyTel.exe
2008-01-30 20:33 2,808,832 ----a-w C:\WINDOWS\alcwzrd.exe
2008-01-30 20:33 2,158,592 ----a-w C:\WINDOWS\MicCal.exe
2008-01-30 20:33 187,392 ----a-w C:\WINDOWS\comsummer.scr
2008-01-30 20:33 127,034 ----a-w C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-01-30 20:32 13,446,648 ----a-w C:\Program Files\setupfre.exe
2008-01-23 12:16 --------- d-----w C:\Documents and Settings\Tata\Application Data\OpenOffice.org2
2008-01-20 17:59 --------- d-----w C:\Documents and Settings\Toto\Application Data\OpenOffice.org2
2008-01-01 21:02 --------- d-----w C:\Program Files\QuickTime
2008-01-01 21:02 --------- d-----w C:\Program Files\iTunes
2008-01-01 21:02 --------- d-----w C:\Program Files\iPod
2008-01-01 21:02 --------- d-----w C:\Documents and Settings\Tata\Application Data\Apple Computer
2008-01-01 21:01 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-01-01 21:01 --------- d-----w C:\Program Files\Apple Software Update
2008-01-01 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-12-10 19:39 --------- d-----w C:\Documents and Settings\Tata\Application Data\CyberLink
2007-12-06 17:44 --------- d-----w C:\Program Files\Fichiers communs\SWF Studio
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-31 13:43 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 17:48 16208384 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2008-01-30 21:33 2879488 C:\WINDOWS\SkyTel.exe]
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2008-01-30 21:33 45056]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 19:54 49152]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00 345088]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-05 23:03 185896]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2008-01-30 21:33 32768]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-30 21:33 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:47 7573504]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer WLAN 11g USB Dongle.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer WLAN 11g USB Dongle.lnk
backup=C:\WINDOWS\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 18:14]
R2 OPTENET_FILTER;Control Parental;C:\Program Files\Controle Parental\bin\optproxy.exe [2006-03-02 16:10]
R3 Hauppauge WinTV-HVR-1110;Hauppauge WinTV-HVR-1110 PCI Card;C:\WINDOWS\system32\DRIVERS\HVR1110.sys [2006-05-25 02:15]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R3 psdfilter;psdfilter;C:\WINDOWS\system32\Drivers\psdfilter.sys [2006-04-07 20:17]
R3 psdvdisk;psdvdisk;C:\WINDOWS\system32\Drivers\psdvdisk.sys [2006-03-08 17:10]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 17:44]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-03-01 18:37]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 10:38]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 21:01:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 13:43:49
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\eHome\ehRec.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-06 13:46:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 12:46:05
ComboFix2.txt 2008-02-05 20:25:52
.
2008-01-09 21:27:32 --- E O F ---

Sinon, à priori pas de problèmes de connexion, même si cette machine n'est pas la mienne et qu'elle est normalement (habituellement) utilisée avec une Livebox et le kit Orange...

J'ai bien envoyé le fichier indiqué à Malekal.

Merci
0
Réponse 55 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien, merci

Il manque le second ComboFix du point 9°-

Et termine par une analyse complète avec HijackThis

Il semble que ton PC est débarrassé de ces saletés collantes.

;)
0
Réponse 56 / 65
Alain038 Messages postés 25 Statut Membre 1
 
Avec mes excuses, comme le PC aavait rebooté...

Voici le secon rapport ComboFix

ComboFix 08-02.05.3 - Tata 2008-02-06 14:22:15.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1451 [GMT 1:00]
Endroit: C:\Documents and Settings\Tata\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
.

2008-02-06 13:39 . 2004-08-10 21:00 400,896 --a------ C:\kmd.exe
2008-02-05 23:29 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-05 22:42 . 2008-02-05 22:42 28,075,720 --a------ C:\upload_moi_ACER-DC6C4D74B4.tar.gz
2008-02-05 21:51 . 2008-02-05 21:51 <REP> d-------- C:\Program Files\Panda Security
2008-02-05 21:42 . 2008-02-05 21:42 131 --a------ C:\Fichiers nommés symavc32.sys.fnd
2008-02-05 20:52 . 2008-02-05 20:52 <REP> d-------- C:\VundoFix Backups
2008-02-04 22:16 . 2008-02-04 22:16 87,869,804 --a------ C:\BdrValToto.reg
2008-02-04 17:06 . 2008-02-04 17:06 <REP> d-------- C:\Program Files\jv16 PowerTools 2007
2008-02-04 17:06 . 2008-02-04 17:06 23 --a------ C:\WINDOWS\system32\aceaacab7_r.ocx
2008-02-04 16:10 . 2008-02-04 16:18 <REP> d-------- C:\Program Files\RegCleaner
2008-02-04 15:50 . 2008-02-04 15:50 105 --a------ C:\fix.reg
2008-02-04 15:15 . 2008-02-04 15:13 152,934 --a------ C:\OAD.exe
2008-02-04 14:15 . 2008-02-04 14:15 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-02-04 11:04 . 2008-02-04 11:04 <REP> d-------- C:\_OTMoveIt
2008-02-04 09:48 . 2008-02-04 09:46 291,840 --a------ C:\OTMoveIt2.exe
2008-02-03 21:35 . 2008-02-03 21:35 <REP> d-------- C:\clean
2008-02-02 21:25 . 2008-02-02 21:25 <REP> d-------- C:\Program Files\Trend Micro
2008-02-02 18:51 . 2008-02-02 18:51 <REP> d-------- C:\Documents and Settings\Toto\Application Data\Apple Computer
2008-02-02 18:27 . 2008-02-02 18:27 <REP> d-------- C:\IEBlocker
2008-02-02 17:31 . 2006-08-23 23:39 42,920 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-02 17:31 . 2008-02-02 17:32 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-02 17:30 . 2008-02-02 17:30 <REP> d-------- C:\Program Files\Zone Labs
2008-02-02 17:13 . 2007-01-25 17:34 14,364,584 --a------ C:\zonealarm_zone_alarm_version_gratuite_6.5.737.000_francais_10494.exe
2008-02-02 16:09 . 2008-02-02 16:10 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-02 16:08 . 2008-02-02 16:08 <REP> d-------- C:\SDFix
2008-02-02 14:41 . 2008-02-06 14:23 <REP> d-------- C:\WINDOWS\Internet Logs
2008-01-30 22:51 . 2008-01-30 22:53 <REP> d-------- C:\Program Files\CCleaner
2008-01-30 22:12 . 2008-01-30 22:12 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-01-30 22:12 . 2008-02-04 23:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-30 22:08 . 2008-02-02 17:25 <REP> d-------- C:\Program Files\HijackThis1
2008-01-30 21:18 . 2008-01-30 21:18 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-01-23 23:54 . 2008-01-23 23:54 <REP> d-------- C:\Documents and Settings\Tata\Application Data\XPdefender

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 13:19 --------- d-----w C:\Program Files\Wanadoo
2008-02-05 22:29 --------- d-----w C:\Program Files\Java
2008-02-02 17:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-30 20:33 9,709,568 ----a-w C:\WINDOWS\RTLCPL.exe
2008-01-30 20:33 86,016 ----a-w C:\WINDOWS\SoundMan.exe
2008-01-30 20:33 81,920 ----a-w C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-01-30 20:33 69,632 ----a-w C:\WINDOWS\Alcmtr.exe
2008-01-30 20:33 524,288 ----a-w C:\WINDOWS\Alaunch.exe
2008-01-30 20:33 364,544 ----a-w C:\WINDOWS\RtlUpd.exe
2008-01-30 20:33 327,168 ----a-w C:\WINDOWS\IsUn040c.exe
2008-01-30 20:33 32,768 ----a-w C:\WINDOWS\AMove.exe
2008-01-30 20:33 303,104 ----a-w C:\WINDOWS\CreateLnk.exe
2008-01-30 20:33 298,496 ----a-w C:\WINDOWS\unin040c.exe
2008-01-30 20:33 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2008-01-30 20:33 253,952 ----a-w C:\WINDOWS\Clearlnk.exe
2008-01-30 20:33 24,576 ----a-w C:\WINDOWS\APanel.exe
2008-01-30 20:33 23,040 ----a-w C:\WINDOWS\kb913800.exe
2008-01-30 20:33 2,879,488 ----a-w C:\WINDOWS\SkyTel.exe
2008-01-30 20:33 2,808,832 ----a-w C:\WINDOWS\alcwzrd.exe
2008-01-30 20:33 2,158,592 ----a-w C:\WINDOWS\MicCal.exe
2008-01-30 20:33 187,392 ----a-w C:\WINDOWS\comsummer.scr
2008-01-30 20:33 127,034 ----a-w C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-01-30 20:32 13,446,648 ----a-w C:\Program Files\setupfre.exe
2008-01-23 12:16 --------- d-----w C:\Documents and Settings\Tata\Application Data\OpenOffice.org2
2008-01-21 18:54 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2008-01-20 17:59 --------- d-----w C:\Documents and Settings\Toto\Application Data\OpenOffice.org2
2008-01-01 21:02 --------- d-----w C:\Program Files\QuickTime
2008-01-01 21:02 --------- d-----w C:\Program Files\iTunes
2008-01-01 21:02 --------- d-----w C:\Program Files\iPod
2008-01-01 21:02 --------- d-----w C:\Documents and Settings\Tata\Application Data\Apple Computer
2008-01-01 21:01 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-01-01 21:01 --------- d-----w C:\Program Files\Apple Software Update
2008-01-01 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-12-10 19:39 --------- d-----w C:\Documents and Settings\Tata\Application Data\CyberLink
2007-12-06 17:44 1,386,496 ----a-w C:\WINDOWS\system32\msvbvm60.dll
2007-12-06 17:44 --------- d-----w C:\Program Files\Fichiers communs\SWF Studio
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-31 13:43 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 17:48 16208384 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2008-01-30 21:33 2879488 C:\WINDOWS\SkyTel.exe]
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2008-01-30 21:33 45056]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 19:54 49152]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00 345088]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-05 23:03 185896]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2008-01-30 21:33 32768]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-30 21:33 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:47 7573504]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-11-29 20:38:14 45056]
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-04 16:57:43 110592]
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-04 16:57:43 110592]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-19 11:36:32 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer WLAN 11g USB Dongle.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer WLAN 11g USB Dongle.lnk
backup=C:\WINDOWS\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 18:14]
R2 OPTENET_FILTER;Control Parental;C:\Program Files\Controle Parental\bin\optproxy.exe [2006-03-02 16:10]
R3 Hauppauge WinTV-HVR-1110;Hauppauge WinTV-HVR-1110 PCI Card;C:\WINDOWS\system32\DRIVERS\HVR1110.sys [2006-05-25 02:15]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R3 psdfilter;psdfilter;C:\WINDOWS\system32\Drivers\psdfilter.sys [2006-04-07 20:17]
R3 psdvdisk;psdvdisk;C:\WINDOWS\system32\Drivers\psdvdisk.sys [2006-03-08 17:10]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 17:44]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-03-01 18:37]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 10:38]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-01 21:01:38 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 14:23:18
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-06 14:23:41
ComboFix-quarantined-files.txt 2008-02-06 13:23:39
ComboFix2.txt 2008-02-05 20:25:52
.
2008-01-09 21:27:32 --- E O F ---
0
Réponse 57 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Parfait

Et termine par une analyse complète avec HijackThis

Il semble que ton PC est débarrassé de ces saletés collantes.

Al
0
Réponse 58 / 65
Alain038 Messages postés 25 Statut Membre 1
 
Merci pour tout !

Voilà le (dernier ?) rapport HijackThis... En tous cas, l'entrée japknah a bien disparu !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:46, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED3526A-6382-4E36-AF33-9799A009F0BA}: NameServer = 80.10.246.130 81.253.149.10
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 59 / 65
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien
Merci à Balltrapp et à Lyonnais92 pour les derniers conseils reçus.

Pour le reste, c'est à toi de décider; mais je dois te suggérer ceci:

A)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).

Alors, fais-moi plaisir; applique ceci:

1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >

2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,

4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

B)- O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

1°- C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ... (aucun probleme à l'enlever, tout fonctionnera parfaitement). Il collecte des infos sur ton PC.
2°-Lance HJT ==> Clic sur [Open the Misc Tools section] > puis [Open Uninstall Manager…] ==> sélectionne France Telecom Routing Table Service (FTRTSVC) > clic sur [Delete this entry].
===> Puis tu relances HJT ==> Clic sur [Open the Misc Tools section] > puis [Open process manager] > puis sur [Kill process] ; ensuite tu cliques sur [Back] et tu coches la même ligne dans la liste

3°-Lance JV16 ( par exemple ), et fais un prénettoyage complet des cases vertes.
TUTO < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm >
Ensuite, à la section VII-Fonction "chercheur du registre" , tu lances les recherches sur base du mot FTRTSVC et tu supprimes ce qu'elle a trouvé .

C)- O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

-C'est un prog espion qui soi-disant sert à faire des mises a jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.

-•Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs:
-Désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » > "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra.

-Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.

-Les mises à jour de logiciels "Logitech" se font aisément à partir des progs eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de soucis de ce côté.

Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html > qui stipule que si l’on supprime le processus BackWeb « IadHide3.dll » , cela interrompera le téléchargement automatique des mises à jour. Pour lesquelles, il est inutile qu’elles soient en automatique !!

D)- O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Télécharger Adobe Reader 8.1 pour Windows
Il existe déja une version 8.1 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
( http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.1/fra/AdbeRdr810_fr_FR.exe lien direct)
- Décocher Téléchargez également :Adobe Photoshop® Album Édition
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.

Bonne chance
Al.
0
Réponse 60 / 65
Alain038 Messages postés 25 Statut Membre 1
 
Merci pour toutes ces informations.

Après l'aide reçue, je pense que je vais suivre tes conseils et les appliquer.

Je donnerai les dernières nouvelles quand ce sera fait !

Alain

PS : désolé pour les fautes de frappe du message 58...
0

Discussions similaires

Processus Expérience d'entrée Windows 11
zendeur37 -
certys29 -

28 réponses
Prestataires des livraisons
placido -
Xileh -

4 réponses
colis à Roissy Courrier International Pic
Pepimousse59 -
Ben314 -

11 réponses
Teste afpa niveau 3
Vulcainessonne -
Raymond PENTIER -

3 réponses
Que signifie ''Votre colis est arrivé sur son site de distribution'' ?
jouhry113 -
georges97 -

27 réponses