Au secours connexion internet intempestive

sgranger -  
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Mon problème est le suivant : une fois qu’elle a été lancée une première fois, puis déconnectée manuellement, ma connexion ADSL se relance toute seule au bout d’un temps aléatoire (entre 1 min et ½ heure).

Lorsque le problème est apparu, ma configuration était la suivante : Windows XP SP2, ie7, réseau domestique avec connexion internet partagée, modem ADSL PCI, connexion sans fil utilisant clef USB WI-Fi 802.11g. Mon PC fixe servait de base Wi-Fi pour connecter un portable via un réseau domestique.

Le problème est survenu après que j’ai réinstallé le logiciel de la clef USB Wi-fi 802.11g : j’ai désinstallé le logiciel de la clef Wi-Fi, mais ça n’a rien changé.

J’ai désactivé les service Windows suivants:
- Configuration Automatique sans fil
- Services de Decouverte SSDP
- Accès à distance au registre
- Administration ISS
- Simple Mail Transfert Protocol (SMTP)
- Assistance TCP/IP NetBIOS
- Connexion secondaire
- Service de découvertes SSDP
- Hôte de périphérique universel Plug n Play
- Explorateur d’ordinateur
- NLA (Network Location Awareness)
- Ouverture de session réseau
- Partage de bureau à distance Netmeeting
- QOS RSVP
- Routage et accès distant
- Serveur
- Service Terminal Serveur
- WebClient
- Telnet

J’ai désinstallé le réseau domestique via l’Assistant Identification Réseau (mon ordinateur fait maintenant partie d’un « WORKGROUP »). Reste juste une option activée « Modifier le suffixe DNS principal lorsque les adhésions aux domaine sont modifiées ». J’ai supprimé et recréé ma connexion internet.

J’ai également :
- Lancé un antispyware (Lavasoft) : deux valeurs de registres trouvées et supprimées,
- Lancé un scan complet de ma machine avec Bitdefender V10: 0 virus 0 spyware trouvé,
- Lancé un scan antivirus en ligne avec McAfee : 0 virus 0 spyware trouvé.

J’ai « nettoyé » ma base de registre avec RegClean.

Dans l’observateur d’évènements, lorsque la connexion internet se lance toute seule, une information de source « Remote access » indique que l’utilisateur a lancé une connexion internet.

Le contrôle des connexions de mon antivirus indique que le coupable se nomme « rasautou.exe » (remote access dialer). Je peux empêcher « Rasautou » de se lancer automatiquement ma connexion, mais à chaque fois que je veux me connecter manuellement, mon antivirus me demande si je veux l’autoriser. Pas très pratique…

Je suis donc bloqué avec ma connexion qui se lance toute seule, je ne sais plus où chercher. Et ça ne me plait pas du tout, je crains être victime d’un Troyan.

Par avance merci pour votre aide.
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
slt,



colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html



Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

________________



Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 2 / 29
sgranger
 
Merci pour ta réponse. hijackthis était déjà installé sur ma machine, dois-je le réinstaller en le renommant comme tu me le conseilles? En tout cas je viens de le lancer et voici le log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:18:10, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\Program Files\HighPoint Technologies, Inc\HighPoint RAID Management Software\service\hptsvr.exe
C:\Program Files\HighPoint Technologies, Inc\HighPoint RAID Management Software\service\drvinst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.boursier.com/
O15 - Trusted Zone: https://www.boursorama.com/
O15 - Trusted Zone: http://epe.ca-assetmanagement.com
O15 - Trusted Zone: https://www.credit-agricole.fr/ca-toulouse31/particulier.html
O15 - Trusted Zone: http://moncompte.neuf.fr
O15 - Trusted Zone: http://neufportail.fr/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5237/mcfscan.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: HighPoint RAID Management Service (hptsvr) - Unknown owner - C:\Program Files\HighPoint Technologies, Inc.\HighPoint RAID Management Software\service\hptsvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
sgranger
 
Voici le rapport Navilog:

Search Navipromo version 3.4.8 commencé le 01/03/2008 à 14:46:11,96

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Stéphane\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Stéphane\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Stéphane\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Stéphane\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Stéphane\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 01/03/2008 à 14:53:48,93 ***
0
Réponse 3 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
non rien dans les rapports!

dans les propriété de ton reseau tu as activé la connexion automatique?
0
sgranger
 
Dans les options de ma connexion ADSL, "rappeler si la ligne a été raccrochée" n'est pas cochée. Est-ce que ça suffit ?
0
Réponse 4 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
cela vient peut etre de tes logiciel qui veulent se mettre a jour et qui reconnectent internet
0
sgranger
 
J'ai installé CurrPorts, qui indique l'état de mes ports: quand la connexion se lance, il y a deux processus qui se lancent:
svchost.exe et vsserv.exe (mon antivirus Bitdefender). Ils se connectent à des adresses IP variables (3 différentes). Ca dure environ 30s après ils disparaissent de la liste du CurrPorts, mais ma connexion internet reste ouverte.

J'ai désactivé la mise à jour automatique de Bitdefender (en principe toutes les 24h), mais c'est pareil. Je ne comprends pas...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
tu peux programmer tes connection avec ce logiciel:

https://www.ovh.co.uk/mail/
0
Réponse 6 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
pour verifeir si il n'y a rien d'infectieux




Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

_________________


Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

• Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.
Manuel de clean :
http://kerio.probb.fr/tuto-Clean-h37.html
0
Réponse 7 / 29
sgranger
 
Combofix ne m'a pas posé de question et je n'ai pas eu à répondre par la touche 1 (???). Mais il s'est lancé.

Voici le rapport Combifix (je lancerai ensuite clean):

ComboFix 08-03-01.3 - Stéphane 2008-03-01 21:49:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.237 [GMT 1:00]
Endroit: C:\Documents and Settings\Stéphane\Bureau\KillBagle.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cache

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-01 to 2008-03-01 ))))))))))))))))))))))))))))))))))))
.

2008-03-01 21:44 . 2004-08-19 16:09 400,896 --a------ C:\WINDOWS\system32\CF27.exe
2008-03-01 18:29 . 2008-03-01 18:56 <REP> d-------- C:\Program Files\CurrPorts
2008-03-01 18:13 . 2008-03-01 18:18 769,536 --a------ C:\Documents and Settings\Stéphane\Application Data\sfdnwin.dll
2008-03-01 18:12 . 2008-03-01 18:12 <REP> d-------- C:\Program Files\SAMSUNG
2008-03-01 13:41 . 2008-03-01 17:46 <REP> d-------- C:\Program Files\RegSeeker
2008-03-01 13:06 . 2008-03-01 13:06 <REP> d-------- C:\Documents and Settings\Stéphane\Application Data\Uniblue
2008-03-01 12:53 . 2008-03-01 12:53 <REP> d-------- C:\Program Files\Trend Micro
2008-02-26 19:52 . 2008-02-26 19:52 <REP> d-------- C:\WINDOWS\McAfee.com
2008-02-26 08:59 . 2008-02-26 21:29 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-02-17 21:06 . 2004-08-19 16:09 116,736 -----c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll
2008-02-17 21:06 . 2001-08-23 17:47 99,865 -----c--- C:\WINDOWS\system32\dllcache\xlog.exe
2008-02-17 21:06 . 2001-08-23 17:47 27,648 -----c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-02-17 21:06 . 2001-08-23 17:47 23,040 -----c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-02-17 21:06 . 2004-08-03 22:29 19,455 -----c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys
2008-02-17 21:06 . 2001-08-23 17:47 17,408 -----c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll
2008-02-17 21:06 . 2001-08-17 20:11 16,970 -----c--- C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-02-17 21:06 . 2004-08-03 22:29 12,063 -----c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys
2008-02-17 21:06 . 2004-08-19 16:09 8,192 -----c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2008-02-17 21:06 . 2001-08-23 17:47 4,608 -----c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-02-17 21:04 . 2001-08-23 17:47 525,568 -----c--- C:\WINDOWS\system32\dllcache\tridxp.dll
2008-02-17 21:03 . 2001-08-23 17:18 899,914 -----c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-02-17 21:02 . 2004-08-03 22:29 452,736 -----c--- C:\WINDOWS\system32\dllcache\mtxparhm.sys
2008-02-17 21:01 . 2004-08-19 16:09 1,737,856 -----c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll
2008-02-17 21:00 . 2001-08-23 17:47 242,688 -----c--- C:\WINDOWS\system32\dllcache\kdsusd.dll
2008-02-17 20:59 . 2004-08-03 22:41 1,041,536 -----c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys
2008-02-17 20:58 . 2001-08-23 17:46 1,733,120 -----c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-02-17 20:57 . 2001-08-23 17:04 980,034 -----c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-02-17 20:56 . 2001-08-17 21:28 871,388 -----c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-02-17 20:55 . 2004-08-19 16:09 1,888,992 -----c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-02-17 20:54 . 2001-08-17 21:28 762,780 -----c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-01 20:48 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-03-01 17:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-24 21:53 80,318 ------w C:\WINDOWS\system32\testscript.tmp
2008-02-19 07:33 --------- d-----w C:\Program Files\Leadtek Research Inc
2008-02-09 10:55 --------- d-----w C:\Program Files\Java
2007-12-11 19:46 524,288 ------w C:\WINDOWS\system32\DivXsm.exe
2007-12-11 19:46 3,596,288 ------w C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 19:45 200,704 ------w C:\WINDOWS\system32\ssldivx.dll
2007-12-11 19:45 1,044,480 ------w C:\WINDOWS\system32\libdivx.dll
2007-12-11 19:43 12,288 ------w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44 196608]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\Money Express.exe" [1999-08-04 00:00 127040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-04-14 10:32 612352 C:\WINDOWS\system32\WF2KCPL.dll]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 20:01 49152]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14 217088]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 01:12 483328]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-17 14:40 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-04-04 14:39 69632]
"AdslTaskBar"="stmctrl.dll" [2005-02-11 09:38 167936 C:\WINDOWS\system32\stmctrl.dll]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 04:12 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-BA7E-100000000002}\SC_Acrobat.exe [2006-04-28 19:06:53 25214]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe"=
"C:\\Program Files\\Microsoft Games\\FS2002\\fs2002.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

R0 hpt3xx;hpt3xx;C:\WINDOWS\system32\drivers\hpt3xx.sys [2004-01-05 09:10]
R0 hptpro;hptpro;C:\WINDOWS\system32\drivers\hptpro.sys [2003-01-27 15:12]
R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 04:00]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2004-11-16 15:48]
R3 TaurusPci;ADSL Modem PCI Service;C:\WINDOWS\system32\DRIVERS\toruspci.sys [2004-12-01 15:56]
R4 WINFOXIO;WINFOXIO;C:\WINDOWS\system32\Drivers\WINFOXIO.SYS [2005-03-25 18:24]
S3 hptsvr;HighPoint RAID Management Service;"C:\Program Files\HighPoint Technologies, Inc.\HighPoint RAID Management Software\service\hptsvr.exe" [2004-06-25 11:38]
S3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\system32\DRIVERS\CamDrL21.sys [2002-06-10 14:16]
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;C:\WINDOWS\system32\ZDBRGSYS.SYS [2004-06-30 13:54]
S4 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-19 16:09]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-26 10:00:14 C:\WINDOWS\Tasks\Copie de Mes Documents.job"
- C:\WINDOWS\system32\Copie de Mes Documents.bat
"2008-02-26 12:00:02 C:\WINDOWS\Tasks\Copie de Mes Photos.job"
- C:\WINDOWS\system32\Copie de Mes Photos.bat
"2008-02-25 14:07:24 C:\WINDOWS\Tasks\Copie de Sauvegarde XP Pro SP2.job"
- C:\WINDOWS\system32\Copie de Sauvegarde XP Pro SP2.bat
"2008-02-25 13:30:00 C:\WINDOWS\Tasks\Sauvegarde Adress Book.wab.job"
- C:\WINDOWS\system32\Sauvegarde Adress Book.bat
"2008-02-25 13:15:05 C:\WINDOWS\Tasks\Sauvegarde Mes Favoris.job"
- C:\WINDOWS\system32\Sauvegarde Mes Favoris.bat
"2008-02-25 13:00:18 C:\WINDOWS\Tasks\Sauvegarde Outlook.pst.job"
- C:\WINDOWS\system32\Sauvegarde Outlook-pst.bat
"2008-02-25 11:00:34 C:\WINDOWS\Tasks\Sauvegarde XP Pro SP2.job"
- C:\WINDOWS\system32\ntbackup.exetbackup
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 21:51:57
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-01 21:53:42
.
2008-02-13 07:43:54 --- E O F ---
0
Réponse 8 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ok colle un rapport clean

c'est depuis quand que tu as ce soucis???
0
Réponse 9 / 29
sgranger
 
Voici le rapport Clean:

01/03/2008 a 22:07:25,18

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND
C:\WINDOWS\system32\SpoonUninstall.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Apparemment, il a trouvé deux fichiers... Dois-je lancer la désinfection en mode sans échec ?
0
Réponse 10 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
oui vas y
0
Réponse 11 / 29
sgranger
 
Ca y est, voici le rapport Clean:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 01/03/2008 a 22:20:27,53

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\bdod.bin
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Apparemment les fichiers ne sont plus dans System32. Penses-tu que ça a marché ?
0
Réponse 12 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
oui mais est ce que tes soucis sont resolus?
0
sgranger
 
Il faut que je teste, ça va prendre une bonne demi-heure pour être sûr Je te tiens au courant dès que j'ai du nouveau. En tout cas, il y avait apparemment quelquechose, je te remercie pour ton aide.
A plus tard.
0
sgranger
 
jlpjlp,

Malheureusement, le problème n'est pas résolu, ma connexion vient de se relancer après environ 25min. Mais j'ai constaté qu'un des deux fichiers infectés (bdod.bin) était toujours présent sur mon système. Il semble que windows le recrée automatiquement. Peut-être n'a-t-il pas été désinfecté correctement. Faut-il relancer Clean ?
Par avance merci.
0
Réponse 13 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
Télécharge DiagHelp.zip sur ton bureau:

http://www.malekal.com/download/DiagHelp.zip

Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
Un nouveau dossier chercher va être créé DiagHelp
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

Copie et colle le rapport ici!
0
sgranger
 
jlpjlp, voici le rapport:

DiagHelp version v1.4 - http://www.malekal.com
excute le 01/03/2008 à 23:24:58,57


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->01/03/2008 23:24:46
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->01/03/2008 23:24:45
C:\WINDOWS\prefetch\WINZIP32.EXE-335422C1.pf -->01/03/2008 23:24:09
C:\WINDOWS\prefetch\OUTLOOK.EXE-179DEC04.pf -->01/03/2008 23:12:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->01/03/2008 23:12:12
C:\WINDOWS\prefetch\RASAUTOU.EXE-18B88A68.pf -->01/03/2008 23:12:03
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->01/03/2008 23:11:58
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->01/03/2008 23:10:53
C:\WINDOWS\prefetch\Layout.ini -->01/03/2008 23:04:41
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->01/03/2008 22:42:43

C:\WINDOWS\System32\drivers\mrxdav.sys -->18/12/2007 10:51:35
C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54
C:\WINDOWS\System32\drivers\tcpip.sys -->30/10/2007 18:20:55
C:\WINDOWS\System32\drivers\cdralw2k.sys -->20/10/2007 01:56:12
C:\WINDOWS\System32\drivers\pxhelp20.sys -->20/10/2007 01:56:10
C:\WINDOWS\System32\drivers\cdr4_xp.sys -->20/10/2007 01:56:10
C:\WINDOWS\System32\drivers\mqac.sys -->06/07/2007 11:05:47

C:\WINDOWS\System32\bdod.bin -->01/03/2008 23:22:06
C:\WINDOWS\System32\nvapps.xml -->01/03/2008 22:41:29
C:\WINDOWS\System32\bdss.log -->01/03/2008 22:41:18
C:\WINDOWS\System32\FNTCACHE.DAT -->01/03/2008 17:47:19
C:\WINDOWS\System32\wpa.dbl -->01/03/2008 13:27:18
C:\WINDOWS\System32\testscript.tmp -->24/02/2008 22:53:35
C:\WINDOWS\System32\MRT.exe -->05/02/2008 00:09:46
C:\WINDOWS\System32\d3d9caps.dat -->11/01/2008 19:03:54
C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:36:55
C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:53:23
C:\WINDOWS\System32\TZLog.log -->12/12/2007 21:02:15
C:\WINDOWS\System32\dsm_fr.qm -->11/12/2007 20:46:04
C:\WINDOWS\System32\divxsm.tlb -->11/12/2007 20:46:04
C:\WINDOWS\System32\DivXsm.exe -->11/12/2007 20:46:04
C:\WINDOWS\System32\qt-dx331.dll -->11/12/2007 20:46:02
C:\WINDOWS\System32\ssldivx.dll -->11/12/2007 20:45:56
C:\WINDOWS\System32\libdivx.dll -->11/12/2007 20:45:56
C:\WINDOWS\System32\dtu100.dll.manifest -->11/12/2007 20:44:28
C:\WINDOWS\System32\dtu100.dll -->11/12/2007 20:44:28
C:\WINDOWS\System32\dpl100.dll.manifest -->11/12/2007 20:44:28
C:\WINDOWS\System32\dpl100.dll -->11/12/2007 20:44:28
C:\WINDOWS\System32\dpuGUI10.dll -->11/12/2007 20:44:22
C:\WINDOWS\System32\dpv11.dll -->11/12/2007 20:44:20
C:\WINDOWS\System32\dpus11.dll -->11/12/2007 20:44:20
C:\WINDOWS\System32\dpuGUI11.dll -->11/12/2007 20:44:20

C:\WINDOWS\pfirewall.log -->01/03/2008 23:24:35
C:\WINDOWS\wiadebug.log -->01/03/2008 22:41:32
C:\WINDOWS\ModemLog_AMI-CW52 V.92 PCI Modem.txt -->01/03/2008 22:41:21
C:\WINDOWS\WindowsUpdate.log -->01/03/2008 22:41:17
C:\WINDOWS\wiaservc.log -->01/03/2008 22:41:16
C:\WINDOWS\bootstat.dat -->01/03/2008 22:41:09
C:\WINDOWS\SchedLgU.Txt -->01/03/2008 22:40:11
C:\WINDOWS\ntbtlog.txt -->01/03/2008 22:23:51
C:\WINDOWS\setupact.log -->01/03/2008 22:22:01
C:\WINDOWS\system.ini -->01/03/2008 21:51:54
C:\WINDOWS\setupapi.log -->01/03/2008 21:37:04
C:\WINDOWS\win.ini -->01/03/2008 18:59:27
C:\WINDOWS\hptuser.dat -->01/03/2008 18:24:06
C:\WINDOWS\SIGVERIF.TXT -->01/03/2008 13:29:23
C:\WINDOWS\pfirewall.log.old -->28/02/2008 22:33:57

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1888
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xcf000 7.00.6000.16608 C:\WINDOWS\system32\WININET.dll
0x71660000 0x9000 6.00.5243.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16608 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x13420000 0x1a000 11.00.5721.5145 C:\Program Files\Windows Media Player\wmpband.dll
0x44360000 0x5cd000 7.00.6000.16608 C:\WINDOWS\system32\ieframe.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44160000 0x127000 7.00.6000.16608 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16608 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10000000 0x2b000 11.00.0000.0001 C:\Program Files\ScanSoft\OmniPageSE\ophook32.dll
0x01d00000 0x170000 6.14.0010.11060 C:\WINDOWS\system32\nview.dll
0x01f40000 0x50000 6.14.0010.11060 C:\WINDOWS\system32\NVWRSFR.DLL
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02dc0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x03430000 0xa000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.FRA
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x00d00000 0x15000 6.14.0010.9371 C:\WINDOWS\system32\nvwddi.dll
0x00e50000 0x12000 1.00.0000.0002 C:\Program Files\Softwin\BitDefender10\bdshelxt.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x16200000 0x6000 4.01.0000.0000 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
0x00f60000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x03dc0000 0x8e000 7.00.0000.1333 C:\Program Files\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
0x7c140000 0x103000 7.10.3077.0000 C:\WINDOWS\system32\MFC71.DLL
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL
0x016f0000 0x4e000 7.00.0000.1333 C:\Program Files\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.fra
0x012d0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x012b0000 0xe000 7.00.0007.0142 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 548
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 5 343 047 680 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\WINDOWS\Downloaded Program Files

26/02/2008 19:53 <REP> .
26/02/2008 19:53 <REP> ..
25/02/2006 21:06 65 desktop.ini
12/03/2006 12:56 59 556 Doremi.ttf
20/11/2006 09:49 228 driveragent.inf
20/11/2006 09:48 428 544 driveragent.ocx
15/06/2006 18:33 1 132 192 EPUWALcontrol.dll
11/04/2007 14:55 1 292 erma.inf
13/11/2006 16:09 1 564 hardwaredetection.inf
15/09/2004 10:20 740 jinstall-1_5_0.inf
16/01/2008 07:37 901 mcfscan.inf
24/05/2005 17:47 691 McGDMgr.inf
13/04/2005 13:46 678 mcinsctl.inf
18/11/2003 13:21 241 664 mnviewer.dll
18/11/2003 13:10 232 Mnviewer.inf
30/06/2005 15:19 227 MsnMessengerSetupDownloader.inf
14/08/2005 00:26 113 664 MsnMessengerSetupDownloader.ocx
28/08/2006 10:05 227 opuc.inf
04/12/2006 15:16 144 QTPlugin.inf
09/11/2006 14:36 5 019 swflash.inf
01/03/2006 20:10 23 600 tvichw32.sys
19 fichier(s) 2 011 228 octets

Total des fichiers listés :
19 fichier(s) 2 011 228 octets
2 Rép(s) 5 343 043 584 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:Enabled:Microsoft Fax Console"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe"="C:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe:*:Enabled:WinFox Display Driver Living Update"
"C:\\Program Files\\Microsoft Games\\FS2002\\fs2002.exe"="C:\\Program Files\\Microsoft Games\\FS2002\\fs2002.exe:*:Enabled:Module de Microsoft Flight Simulator"
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe:*:Enabled:Age of Empires 3"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Disabled:Microsoft Management Console"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Disabled:Assistant Transfert de fichiers et de paramètres"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 23:25:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
508 - LVCOMSX.EXE
524 - csrss.exe
548 - winlogon.exe
592 - services.exe
604 - lsass.exe
648 - Money Express.e
748 - svchost.exe
788 - bdmcon.exe
828 - svchost.exe
888 - svchost.exe
924 - bdagent.exe
1076 - spoolsv.exe
1128 - eEBSvc.exe
1280 - nvsvc32.exe
1328 - svchost.exe
1408 - xcommsvr.exe
1460 - livesrv.exe
1584 - bdss.exe
1888 - explorer.exe
1924 - cmd.exe
2024 - vsserv.exe
3644 - OUTLOOK.EXE
3712 - iexplore.exe

Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7A2E000 - \WINDOWS\system32\KDCOM.DLL
F793E000 - \WINDOWS\system32\BOOTVID.dll
F74ED000 - imagesrv.sys
F74BE000 - ACPI.sys
F7A30000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F74AD000 - pci.sys
F752E000 - isapnp.sys
F7AF6000 - pciide.sys
F77AE000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7A32000 - intelide.sys
F753E000 - MountMgr.sys
F748E000 - ftdisk.sys
F7A34000 - dmload.sys
F7468000 - dmio.sys
F77B6000 - PartMgr.sys
F7942000 - IdeBusDr.sys
F754E000 - VolSnap.sys
F7450000 - atapi.sys
F755E000 - hpt3xx.sys
F7438000 - \WINDOWS\system32\drivers\SCSIPORT.SYS
F7420000 - IdeChnDr.sys
F7A36000 - imagedrv.sys
F756E000 - disk.sys
F757E000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7400000 - fltMgr.sys
F73EE000 - sr.sys
F758E000 - PxHelp20.sys
F7946000 - hptpro.sys
F73D7000 - KSecDD.sys
F734A000 - Ntfs.sys
F731D000 - NDIS.sys
F7302000 - Mup.sys
F759E000 - agp440.sys
F772E000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F6A93000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F6A7F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F780E000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F6A5C000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7816000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F69E0000 - \SystemRoot\system32\DRIVERS\toruspci.sys
F69C4000 - \SystemRoot\system32\drivers\cwcspud.sys
F7BF0000 - \SystemRoot\system32\drivers\cwcos.sys
F69A1000 - \SystemRoot\system32\drivers\ks.sys
F6990000 - \SystemRoot\system32\DRIVERS\basic2.sys
F6EA3000 - \SystemRoot\system32\DRIVERS\SOAR.SYS
F6EF3000 - \SystemRoot\system32\DRIVERS\rksample.sys
F6909000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
F68E3000 - \SystemRoot\system32\DRIVERS\AmosNt.SYS
F78C6000 - \SystemRoot\System32\Drivers\Modem.SYS
F78D6000 - \SystemRoot\system32\DRIVERS\fdc.sys
F68D2000 - \SystemRoot\system32\DRIVERS\serial.sys
F7A22000 - \SystemRoot\system32\DRIVERS\serenum.sys
F68BE000 - \SystemRoot\system32\DRIVERS\parport.sys
F75CE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F78FE000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F78EE000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F75DE000 - \SystemRoot\system32\DRIVERS\imapi.sys
F75EE000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F760E000 - \SystemRoot\system32\DRIVERS\redbook.sys
F64E8000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
F64C4000 - \SystemRoot\system32\drivers\portcls.sys
F6EE3000 - \SystemRoot\system32\drivers\drmk.sys
F7C35000 - \SystemRoot\system32\DRIVERS\audstub.sys
F6E63000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F72DE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F64AD000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F764E000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F765E000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F7886000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F649C000 - \SystemRoot\system32\DRIVERS\psched.sys
F766E000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F788E000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F78F6000 - \SystemRoot\system32\DRIVERS\raspti.sys
F646B000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F767E000 - \SystemRoot\system32\DRIVERS\termdd.sys
F768E000 - \SystemRoot\system32\DRIVERS\stmatm.sys
F7ACC000 - \SystemRoot\system32\DRIVERS\swenum.sys
F6412000 - \SystemRoot\system32\DRIVERS\update.sys
F72B6000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F76CE000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F76DE000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7AD0000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F51D2000 - \SystemRoot\system32\drivers\cwcwdm.sys
F7A02000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F79FA000 - \SystemRoot\system32\drivers\MODEMCSA.sys
F77E6000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F7AD2000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7C2C000 - \SystemRoot\System32\Drivers\Null.SYS
F7AD4000 - \SystemRoot\System32\Drivers\Beep.SYS
F7C1A000 - \SystemRoot\System32\Drivers\ATMhelpr.SYS
F7836000 - \SystemRoot\System32\drivers\vga.sys
F7AD6000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7AD8000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7806000 - \SystemRoot\System32\Drivers\Msfs.SYS
F783E000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7A0E000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F5177000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F511F000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F781E000 - \??\C:\Program Files\Softwin\BitDefender10\bdpredir.sys
F50FE000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F773E000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F50D6000 - \SystemRoot\system32\DRIVERS\netbt.sys
F50B4000 - \SystemRoot\System32\drivers\afd.sys
F771E000 - \SystemRoot\system32\DRIVERS\netbios.sys
F4FC1000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F4F52000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F76EE000 - \SystemRoot\System32\Drivers\Fips.SYS
F774E000 - \SystemRoot\system32\drivers\lvusbsta.sys
F6402000 - \SystemRoot\system32\DRIVERS\usbscan.sys
F7866000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
F775E000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F4F02000 - \SystemRoot\system32\DRIVERS\Camdrl.sys
F762E000 - \SystemRoot\system32\DRIVERS\STREAM.SYS
F4CE7000 - \SystemRoot\system32\DRIVERS\lvsvf2.sys
F776E000 - \SystemRoot\system32\drivers\usbaudio.sys
F51AA000 - \SystemRoot\System32\Drivers\dump_diskdump.sys
F778E000 - \SystemRoot\System32\Drivers\dump_hpt3xx.sys
BF800000 - \SystemRoot\System32\win32k.sys
F4FF4000 - \SystemRoot\System32\drivers\Dxapi.sys
F786E000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F7C20000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
F7AE4000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F7AEA000 - \SystemRoot\System32\Drivers\WBHWDOCT.SYS
BA5F8000 - \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys
BA570000 - \SystemRoot\system32\DRIVERS\cnxtdiag.sys
B9B39000 - \SystemRoot\system32\DRIVERS\fallback.sys
B9B1C000 - \SystemRoot\system32\DRIVERS\fsksnt.sys
B9ABC000 - \SystemRoot\system32\DRIVERS\k56nt.sys
B9A63000 - \SystemRoot\system32\DRIVERS\faxnt.sys
B9D28000 - \SystemRoot\system32\DRIVERS\tonesnt.sys
B99C3000 - \SystemRoot\system32\DRIVERS\v124nt.sys
B97A6000 - \SystemRoot\system32\drivers\wdmaud.sys
B9813000 - \SystemRoot\system32\drivers\sysaudio.sys
F78E6000 - \??\C:\Program Files\Softwin\BitDefender10\bdfdll.sys
B94EA000 - \??\C:\WINDOWS\system32\Drivers\WINFOXIO.SYS
B926E000 - \??\C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys
B7652000 - \SystemRoot\system32\drivers\kmixer.sys
F7C2A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 143

Liste des programmes installes

Acrobat Standard (7.0.0) ML
Acrobat Standard (7.0.0) ML
Acrobat Update (7.0.1) ML
Acrobat Update (7.0.2) ML
Acrobat Update (7.0.3) ML
Ad-aware 6 Personal
Adaptateur USB Réseau Olitec
Adobe Flash Player ActiveX
Adobe Reader 7.0.5 Language Support
Adobe Reader 7.0.7 - Français
Adobe Type Manager 4.0
Age of Empires III
Age of Empires III
AMI-CW52 V.92 PCI Modem
Archiveur WinRAR
AVI to VCD/DVD 3.38
BeWAN ADSL modem
BitDefender Antivirus v10
Camera Support Core Library
Camera Window DS
Camera Window DVC
Camera Window MC
Canon Camera Support Core Library
Canon Camera Window DS for ZoomBrowser EX
Canon Camera Window DVC for ZoomBrowser EX
Canon Camera Window for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon PhotoRecord
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities PhotoStitch 3.1
Canon ZoomBrowser EX
CanoScan LiDE20,30 Manual
CanoScan Toolbox 4.1
coverXP (remove only)
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
EPSON Logiciel imprimante
EPSON Status Monitor 2
EPSON Status Monitor 2
EVEREST Home Edition v2.20
FW LiveUpdate
Google Earth
Hardware Doctor
HighPoint RAID Management Software
HijackThis 2.0.2
Indeo® Software
Intel Application Accelerator
Internet Library
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Lecteur Windows Media 11
LimeWire PRO 4.8.1
Logiciel QuickCam de Logitech
MGI VideoWave 4
Microsoft Age of Empires II
Microsoft Age of Empires II : The Conquerors Expansion
Microsoft Combat Flight Simulator
Microsoft Flight Simulator 2002
Microsoft FrontPage 2000 SR-1
Microsoft Money 2000 Suite Financière
Microsoft Office 2000 SR-1 Disque 2
Microsoft Office 2000 SR-1 Professional
Microsoft Silverlight
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
MovieEdit Task
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
Nero 6 Ultra Edition
NVIDIA Drivers
OmniPage SE
PhotoStitch
Programme de gestion Camera de Logitech®
RAW Image Task 2.0
Realtek AC'97 Audio
REALTEK Gigabit and Fast Ethernet NIC Driver
RemoteCapture Task 1.1
TerraExplorer
TMPGEnc DVD Author 1.5
Total Uninstall 3.52
VideoLAN VLC media player 0.8.5
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Media Format 11 runtime
WinFast(R) Display Driver
WinFox Setup
WinZip



Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\Program Files

01/03/2008 19:05 <REP> .
01/03/2008 19:05 <REP> ..
26/02/2006 21:38 <REP> Ad-aware
28/04/2006 19:07 <REP> Adobe
11/03/2006 10:44 <REP> Adobe Type Manager
26/02/2006 21:17 <REP> Ahead
21/07/2007 16:57 <REP> AvRack
26/11/2006 15:02 <REP> BeWAN ADSL V1.9.0.10
07/08/2006 14:35 <REP> Canon
25/02/2006 21:03 <REP> ComPlus Applications
23/05/2006 10:36 <REP> CONEXANT
26/02/2006 21:37 <REP> coverXP
09/12/2006 19:50 <REP> Cucusoft
01/03/2008 18:56 <REP> CurrPorts
03/03/2006 23:02 <REP> directx
31/12/2007 22:10 <REP> DivX
26/02/2006 21:09 <REP> EPSON
15/10/2006 12:25 <REP> Fichiers communs
22/10/2007 18:52 <REP> Gateway
16/12/2007 17:05 <REP> Google
24/10/2007 07:54 <REP> HardwareDetection
25/02/2006 23:35 <REP> HighPoint Technologies, Inc
25/02/2006 23:28 <REP> Intel
13/02/2008 08:57 <REP> Internet Explorer
09/02/2008 11:55 <REP> Java
01/12/2006 19:19 <REP> Lavalys
26/02/2006 21:38 <REP> Lavasoft
19/02/2008 08:33 <REP> Leadtek Research Inc
24/05/2006 13:26 <REP> Ligos
08/07/2006 19:36 <REP> LimeWire
31/03/2006 20:38 <REP> Logitech
25/02/2007 10:08 <REP> MagicDVDRipper
26/05/2006 17:46 <REP> MediaMonkey
27/02/2006 13:01 <REP> Messenger
24/05/2006 12:31 <REP> MGI
04/03/2006 00:13 <REP> microsoft frontpage
26/05/2007 12:37 <REP> Microsoft Games
26/02/2006 12:53 <REP> Microsoft Money
26/02/2006 12:11 <REP> Microsoft Office
26/02/2008 21:29 <REP> Microsoft Silverlight
04/03/2006 00:14 <REP> Microsoft Visual Studio
25/02/2006 21:04 <REP> Movie Maker
26/05/2006 17:59 <REP> MP3Gain
23/02/2008 22:04 <REP> MSN
25/02/2006 21:03 <REP> MSN Gaming Zone
01/12/2007 12:23 <REP> MSN Messenger
27/05/2007 11:26 <REP> MSXML 4.0
25/02/2006 21:05 <REP> NetMeeting
02/06/2006 20:15 <REP> Objective Tarot
13/06/2007 07:51 <REP> Outlook Express
09/12/2006 19:44 <REP> Pegasys Inc
11/03/2006 10:43 <REP> PhotoDeluxe EE 1.0
24/02/2007 15:24 <REP> QuickTime
21/07/2007 16:57 <REP> Realtek AC97
25/02/2006 22:57 <REP> Realtek Sound Manager
01/03/2008 17:46 <REP> RegSeeker
01/03/2008 18:12 <REP> SAMSUNG
03/03/2006 23:35 <REP> ScanSoft
22/12/2007 12:36 <REP> Skyline
01/01/2007 20:26 <REP> Snapshot Viewer
15/10/2006 12:26 <REP> Softwin
25/08/2007 10:54 <REP> TaskbarRepairToolPlus!
01/03/2006 21:02 <REP> Total Uninstall 3
01/03/2008 12:53 <REP> Trend Micro
17/06/2006 17:39 <REP> VideoLAN
02/06/2006 20:14 <REP> Webtarot
26/02/2006 21:33 <REP> winbond
03/03/2006 23:00 <REP> Windows Media Components
20/10/2007 18:34 <REP> Windows Media Connect 2
20/10/2007 18:34 <REP> Windows Media Player
25/02/2006 21:03 <REP> Windows NT
25/11/2006 11:14 <REP> WinRAR
03/03/2006 21:24 <REP> WinZip
25/02/2006 21:07 <REP> xerox
0 fichier(s) 0 octets
74 Rép(s) 5 331 136 512 octets libres
Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\Program Files\fichiers communs

15/10/2006 12:25 <REP> .
15/10/2006 12:25 <REP> ..
28/04/2006 19:06 <REP> Adobe
26/02/2006 18:17 <REP> Ahead
26/02/2006 12:08 <REP> Designer
26/02/2006 21:08 <REP> InstallShield
27/02/2006 21:06 <REP> Java
31/03/2006 20:38 <REP> Logitech
24/05/2006 12:31 <REP> MGI Shared
01/12/2007 12:23 <REP> Microsoft Shared
25/02/2006 21:05 <REP> MSSoap
25/02/2006 21:56 <REP> ODBC
03/03/2006 23:36 <REP> ScanSoft Shared
25/02/2006 21:05 <REP> Services
15/10/2006 12:26 <REP> Softwin
25/02/2006 21:56 <REP> SpeechEngines
21/06/2007 18:27 <REP> System
0 fichier(s) 0 octets
17 Rép(s) 5 331 136 512 octets libres
Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

17/03/2006 22:14 <REP> .
17/03/2006 22:14 <REP> ..
28/02/2002 23:03 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
18/03/1999 05:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 5 331 132 416 octets libres
Le volume dans le lecteur C s'appelle Système
Le numéro de série du volume est 6017-D642

Répertoire de C:\

24/05/2001 11:59 162 304 UNWISE.EXE
1 fichier(s) 162 304 octets
0 Rép(s) 5 331 132 416 octets libres




c:\Documents and Settings\administrator\Local Settings\Temp\WinFastPVR\_ISDel.exe
c:\Documents and Settings\administrator\Local Settings\Temp\WinFastPVR\Setup.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Stéphane\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll
c:\Documents and Settings\All Users\Application Data\Skyline\TEDetect.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\Stéphane\Application Data\sfdnwin.dll
c:\Documents and Settings\Stéphane\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Stéphane\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
c:\Documents and Settings\Stéphane\Application Data\OfficeUpdate12\oudetect.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ORDINATEUR.tar.gz a l'adresse http://upload.malekal.com
0
Réponse 14 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

______________

depuis quand tu as ce soucis???
0
sgranger
 
J'ai le soucis depuis 3 semaines environ. Je lance HijackThis comme tu me le dis. Je te tiens au courant.
0
Réponse 15 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
oui tu dis
pas grand chose dans tous les rapports

tu avais essayé de restaurer ton ordi a une heure aterieur au plantage?

(dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME
)


si ca persiste essaye

puis refais clean
0
sgranger
 
Ca y est j'ai fait ce que tu m'as dit avec HijackThis. Pour la restauration, j'avais supprimé les points de restauration pour gagner de l'espace disque, donc pas possible de restaurer... je vais voir ce que ça donne maintenant, et si ça recommence je refais clean.

En tout cas je te remercie pour ta patience et ta compétence, et je te tiens au courant dès que j'ai du nouveau.
0
sgranger
 
jlpjlp,

Le problème vient de "bdod.bin": Clean l'indique comme infecté. Je le supprime en mode sans échec, je reboote en mode normal, il n'y est plus. Je relance Clean pour être sûr: pas d'infection dans le rapport.

Mais ma connexion se reconnecte quand même après 10 min environ, et je retrouve comme par hasard un fichier bdod.bin dans system32. Et un nouveau Clean l'indique comme infecté.

Il y a donc un autre programme infecté qui crée bdod.bin, non ? Comment puis-je le trouver et l'éradiquer?
0
Réponse 16 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
pour voir si ce ficheir est vraiment infécté: analyse le sur virus total : https://www.virustotal.com/gui/


C:\WINDOWS\system32\bdod.bin


_______________


utilise pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

________________


si ca persiste il faudra essayer zeb restore:



Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant : Panneau de configuration
- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC
0
Réponse 17 / 29
sgranger
 
Bonjour jlpjlp,

Hier soir j'ai cherché "bdod.bin" sur Google et j'ai vu pas mal de gens qui avaient eu ce fichier infecté (entre autres) par MSN. Et je me suis souvenu que mon problème était survenu approximativment après que j'ai échangé des fichiers via les dossiers partagés de Windows Live Messenger. J'ai donc pris l'initiative de télécharger et lancer MSNFix, qui a apparemment trouvé des choses: un eizaine de clefs de registre modifiées et un fichier upload.txt:

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\msnextension.exe
C:\WINDOWS\system\smss.exe
C:\DOCUME~1\STPHAN~1\LOCALS~1\Temp\console35.exe
C:\WINDOWS\winnt.exe
C:\WINDOWS\system32\jester1.exe
C:\WINDOWS\system32\fservice.exe

Cela étant, ça n'a pas résolu mon problème. Le fichier "bdod.bin" (toujours vu infecté par Clean) serait en fait lié à mon antivirus Birdefender...

Comme tu me l'as conseillé, je l'ai fait analyser sur VurisTotal: aucune détection parmi 32 antivirus.

J'ai installé CCleaner: 382Mo de fichiers supprimés et des erreurs réparées dans le registre (clef manquantes, etc.).

Je n'ai pas encore lancé la restauration du panneau de confguration avec Zeb-Restore. Tu penses qu'il peut y avoir un problème là?
0
Réponse 18 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
comme tu dis avoir eu une inféction avec mns:



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
sgranger
 
jlpjlp,

Voici le rapport de SDFix:


[b]SDFix: Version 1.150 [/b]

Run by Stéphane on 02/03/2008 at 12:52

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\STPHAN~1\Bureau\SDFix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting




[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 12:58:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77]
"CurrentCacheFile"="C:\WINDOWS\SoftwareDistribution\EventCache\{810C190C-9FAE-417D-8775-09226752AAA0}.bin"

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 81


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe:*:Enabled:Age of Empires 3"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Disabled:Microsoft Management Console"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Exécuter une DLL en tant qu'application"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:Disabled:Microsoft Fax Console"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Microsoft Games\\FS2002\\fs2002.exe"="C:\\Program Files\\Microsoft Games\\FS2002\\fs2002.exe:*:Disabled:Module de Microsoft Flight Simulator"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Disabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe"="C:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe:*:Disabled:WinFox Display Driver Living Update"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sat 11 Mar 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 8 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Fri 17 Mar 2006 8,278 ...H. --- "C:\Documents and Settings\St‚phane\Application Data\Microsoft\Office\Shortcut Bar\Off4D.tmp"

[b]Finished![/b]
0
Réponse 19 / 29
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
non plus d'infection msn et ton registre a été reparé
0
sgranger
 
Désolé j'ai posté au mauvais endroit, je recopie ma réponse:

En attendant, j'ai pris l'initiative d'installer et lancer SpyBot: il m'a trouvé et supprimé trois clef de registre suspectes:
- HKLM\System\..\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\AuthorizedApp­lication\???
- HKLM\System\..\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\AuthorizedApp­lication\???
- HKLM\System\..\ControlSet001\Services\poof
Cela étant, ca n'ai rien changé.

Et en écrivant ma connexion vient de se relancer, c'est donc que ça n'a pas suffi, et que SDFix n'a pas suffi non plus...

Ne devrais-pas désactiver le partage de fichiers sous Windows Live Messenger?
0
Réponse 20 / 29
sgranger
 
En attendant, j'ai pris l'initiative d'installer et lancer SpyBot: il m'a trouvé et supprimé trois clef de registre suspectes:
- HKLM\System\..\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\AuthorizedApplication\???
- HKLM\System\..\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\AuthorizedApplication\???
- HKLM\System\..\ControlSet001\Services\poof
Cela étant, ca n'ai rien changé.

Et en écrivant ma connexion vient de se relancer, c'est donc que ça n'a pas suffi, et que SDFix n'a pas suffi non plus...
Ne devrais-pas désactiver le partage de fichiers sous Windows Live Messenger?
0

Discussions similaires

Formaté mais pas de connexion Internet ?
VissErale -
VissErale -

4 réponses
Plus de connexion internet après formatage
***kiwi*** -
iyadh abdelmoumen -

20 réponses
format internet
hilal03 -
avion-f16 -

5 réponses
CONNEXION IMPOSSIBLE SUR CERTAINS SITES
ELISE8000 -
titicris58 -

4 réponses
J'ai formater mon PC mais plus Internet !
philou527 -
skyzo35 -

8 réponses