Pb infection... trojan? virus? autres?

Pinpin0174 -  
 Lyonnais92 -
Bonjour,

Comme je l'ai spécifé dans mon message d'hier, je rencontre un sérieux problème avec mon PC et je n'arrive pas à le résoudre, malgrè la mise en application des nombreux conseils que l'on peut trouver sur le site...
Depuis quelques jours, je ne peut plus me servir de mon PC... lorsque j'utilise mon logiciel de dessin (Bricscad V8), le PC "plante" (type erreur fatale), sans message... et le plus surprenant, me vire le .exe du programme...
J'ai essayé de faire du vide et du nettoyage (Superspyware, Spybot, aadaware, vundofix, The cleaner, Ccleaner, SDFix, etc...), mais jusqu'à présent, cela n'a pas été éfficace... je ne peut même plus lancer Ccleaner... ça scratche en pleine action et je suis obligé de le réinstaller... J'avait le même problème avec vundofix...

Afin d'essayer de me débarraser de ce problème, j'ai contacté mon fournisseur de protection (Trend Micro - Internet security 2007), je lui ai fournis un rapport Hijackthis et j'ai effectué un scan en ligne, qui n'a pas trouvé grand chose...
Depuis j'attends leur réponse...

En attendant, j'ai repris depuis le début, et j'ai suivi la procédure de désinfection dispo sur le site...
Je n'ai pas pu effectuer un nettoyage avec Ccleaner, voir explication plus haut...

J'ai fait un scan avec AVG Antispyware Voir rapport ci dessous:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 08:44:38 04/03/2008

+ Résultat de l'analyse:

C:\Documents and Settings\denis\Cookies\denis@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\denis\Cookies\denis@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\denis\Cookies\denis@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\denis\Cookies\denis@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Aucune action entreprise.
C:\Documents and Settings\denis\Cookies\denis@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\denis\Cookies\denis@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.

Fin du rapport

Ensuite, scan en ligne avec Bit Defender, voir rapport:
BitDefender Online Scanner -Scan ReportBitDefender Online Scanner
Scan report generated at: Tue, Mar 04, 2008 - 09:56:26

Scan path: C:\;D:\;E:\;

Statistics
Time00:18:12
Files193996
Folders4358
Boot Sectors3
Archives1458
Packed Files10207

Results
Identified Viruses 1
Infected Files 2
Suspect Files 0
Warnings0
Disinfected0
Deleted Files4

Engines Info
Virus Definitions985107
Engine buildAVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins16
Archive plugins41
Unpack plugins7
E-mail plugins6
System plugins5

Scan Settings
First ActionDisinfect
Second ActionDelete
HeuristicsYes
Enable WarningsYes
Scanned Extensions*;
Exclude Extensions
Scan EmailsYes
Scan ArchivesYes
Scan PackedYes
Scan FilesYes
Scan BootYes

Scanned File Status
C:\Program Files\Trend Micro\Internet Security
2007\Quarantine\iicnyyyp.dll=>(Quarantine-4)Infected with:
Trojan.Vundo.DWB
C:\Program Files\Trend Micro\Internet Security
2007\Quarantine\iicnyyyp.dll=>(Quarantine-4)Deleted
C:\System Volume
Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP175\A0035583.dll=>(Quarantine-4)Infected
with: Trojan.Vundo.DWB
C:\System Volume
Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP175\A0035583.dll=>(Quarantine-4)Deleted

Puis 2 scan en ligne avec F-Secure, voir rapport:
F-Secure Online Scanner 3.3.1 - Scanning Report - Tuesday, March 04, 2008 11:06:50Scanning
Report
Tuesday, March 04, 2008 10:47:05 - 11:06:50
Computer name: FAVRE
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\

Result: 3 malware found
Tracking Cookie (spyware)
System
Vundo.gen38 (virus)
C:\WINDOWS\SYSTEM32\GUOSEPIN.INI (Submitted)
C:\WINDOWS\SYSTEM32\KHXBPAVJ.INI (Submitted)

Statistics
Scanned:
Files: 27575
System: 3141
Not scanned: 6
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 3
Submitted: 2
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:
F-Secure USS: 2.20.0
F-Secure Hydra: 2.6.7470, 2008-03-04
F-Secure AVP: 7.0.171, 2008-03-04
F-Secure Pegasus: 1.20.0, 2008-01-26
F-Secure Blacklight: 1.0.64
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF
VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI
MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0
TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB
BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third
parties that F-Secure World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to any of our servers, for
example by E-mail or via our F-Secure's CGI E-mail, you agree that the
material you make available may be published in the F-Secure World Wide Pages
or hard-copy publications. You will reach F-Secure public web site by clicking
on underlined links. While doing this, your access will be logged to our
private access statistics with your domain name.This information will not be
given to any third party. You agree not to take action against us in relation
to material that you submit. Unless you have clearly stated otherwise, by
submitting material you warrant that F-Secure may incorporate any concepts
described in it in the F-Secure products/publications without liability.

2ème rapport:
F-Secure Online Scanner 3.3.1 - Scanning Report - Tuesday, March 04, 2008 11:38:13Scanning
Report
Tuesday, March 04, 2008 11:15:27 - 11:38:13
Computer name: FAVRE
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\

Result: 3 malware found
Tracking Cookie (spyware)
System
Vundo.gen38 (virus)
C:\WINDOWS\SYSTEM32\GUOSEPIN.INI (Submitted)
C:\WINDOWS\SYSTEM32\KHXBPAVJ.INI (Submitted)

Statistics
Scanned:
Files: 27565
System: 3138
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 3
Submitted: 2
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{7E979C4B-9F11-4F8E-9819-6222D3C9D5DF}.BIN

Options
Scanning engines:
F-Secure USS: 2.20.0
F-Secure Hydra: 2.6.7470, 2008-03-04
F-Secure AVP: 7.0.171, 2008-03-04
F-Secure Pegasus: 1.20.0, 2008-01-26
F-Secure Blacklight: 1.0.64
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF
VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI
MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0
TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB
BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third
parties that F-Secure World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to any of our servers, for
example by E-mail or via our F-Secure's CGI E-mail, you agree that the
material you make available may be published in the F-Secure World Wide Pages
or hard-copy publications. You will reach F-Secure public web site by clicking
on underlined links. While doing this, your access will be logged to our
private access statistics with your domain name.This information will not be
given to any third party. You agree not to take action against us in relation
to material that you submit. Unless you have clearly stated otherwise, by
submitting material you warrant that F-Secure may incorporate any concepts
described in it in the F-Secure products/publications without liability.

et pour finir, rapport HIjackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:48, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
C:\Program Files\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
c:\program files\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Program Files\UPHClean\uphclean.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.ldlc.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ldlc.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.ldlc.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par LDLC.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O18 - Protocol: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Program Files\Fichiers communs\Bricscad\BrxProtIE.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--
End of file - 9283 bytes

A noter qu'après tout cela, je ne peux toujours pas lancer Ccleaner, mais j'arrive à lancer vundofix...
Malheureusement, il n'a rien détecté...

Si quelqu'un pouvait m'aider, j'en serais ravis...

Merci d'avance
Configuration: Windows XP
Internet Explorer 7.0

30 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est un plantage du PC lors de l’utilisation de Bricscad V8, avec une erreur fatale sans message et parfois la suppression du fichier exécutable. Des tentatives de désinfection et des analyses en ligne ont identifié des menaces potentielles, notamment des trojans Vundo et des traces de cookies, malgré l’utilisation de plusieurs outils. Des solutions expliquées dans les guides et des scans par AVG Anti-Spyware, BitDefender Online Scanner et F-Secure Online Scanner indiquent des infections et des éléments suspects dans le système. En cas de persistance, la recommandation porte sur une désinfection complète et une purification du système, suivies d’un contrôle des paramètres de sécurité et des programmes tiers pour prévenir les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    Bonjour Pinpin0174

    je vais tenter de t'aider de mon mieux. je vois que .tu t'es donné la peine de chercher c'est bien... ;-)

    Commence par faire cela dans un premier temps

    1) Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé,
    redémarre et poste le rapport VBG.TXT créé sur le bureau

    puis

    2)Telecharge ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    3)Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    4)Redemarre en mode sans echec
    -->tapote sur F8 ou F5 au demarrage de windows, juste avant le logo de windows
    -->a l'aide des fleches de ton clavier selectionne mode sans echec

    5)--> double-clic sur Combofix.exe.

    -->Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
    pendant la durée de cette étape,n'ouvre aucuns programmes
    - ->A la fin du scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche
    --> Un rapport s'ouvrira dans le bloc notes, (Combofix.txt),
    Il est sauvegardé dans C:\Combofix.txt)

    6) Redemarre

    7)-->Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    poste les 2 rapports stp

    bon courage
    @+
    0
    1. pinpin0174
       
      Bonjour,

      Tout d'abord, merci pour le coup de main, je crois qu'il faudra bien si mettre à plusieurs...

      j'ai bien effectué les 2 scans, comme indiqué...

      Voici les rapports:

      1 -- VirtumundoBeGone

      [03/04/2008, 18:22:16] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\denis\Bureau\VirtumundoBeGone.exe" )
      [03/04/2008, 18:22:21] - Detected System Information:
      [03/04/2008, 18:22:21] - Windows Version: 5.1.2600, Service Pack 2
      [03/04/2008, 18:22:21] - Current Username: denis (Admin)
      [03/04/2008, 18:22:21] - Windows is in NORMAL mode.
      [03/04/2008, 18:22:21] - Searching for Browser Helper Objects:
      [03/04/2008, 18:22:21] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
      [03/04/2008, 18:22:21] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
      [03/04/2008, 18:22:21] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [03/04/2008, 18:22:21] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
      [03/04/2008, 18:22:21] - Finished Searching Browser Helper Objects
      [03/04/2008, 18:22:21] - Finishing up...
      [03/04/2008, 18:22:21] - Nothing found! Exiting...

      ----------------------------------------------------------------------------------------------------------------------------------------

      2 -- ComboFix

      ComboFix 08-03-04.2 - denis 2008-03-04 18:29:49.1 - NTFSx86 MINIMAL
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1770 [GMT 1:00]
      Endroit: C:\Documents and Settings\denis\Bureau\ComboFix.exe

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\cookies.ini
      C:\WINDOWS\system32\guosepin.ini
      C:\WINDOWS\system32\jaabhyxq.ini
      C:\WINDOWS\system32\khxbpavj.ini

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-04 10:13 . 2008-03-04 10:13 <REP> d-------- C:\fsaua.data
      2008-03-04 09:36 . 2008-03-04 09:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2008-03-04 08:26 . 2008-03-04 08:26 <REP> d-------- C:\Documents and Settings\denis\Application Data\Grisoft
      2008-03-04 08:26 . 2008-03-04 08:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-03-04 08:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
      2008-03-03 16:12 . 2008-03-03 16:12 <REP> d-------- C:\WINDOWS\ERUNT
      2008-03-03 16:03 . 2008-03-03 16:17 <REP> d-------- C:\SDFix
      2008-03-03 15:40 . 2008-03-03 15:40 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
      2008-03-03 15:39 . 2008-03-04 08:53 <REP> d-------- C:\Program Files\The Cleaner Free
      2008-02-28 17:11 . 2008-02-28 17:11 <REP> d-------- C:\VundoFix Backups
      2008-02-25 07:47 . 2008-02-28 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
      2008-02-21 17:45 . 2008-02-21 17:45 <REP> d-------- C:\Program Files\Yahoo!
      2008-02-12 13:37 . 2008-02-12 13:37 <REP> d-------- C:\rdm6
      2008-02-11 12:30 . 2008-03-03 10:17 <REP> d-------- C:\Program Files\Trojan Remover
      2008-02-11 11:32 . 2008-03-04 18:26 <REP> d-------- C:\Program Files\SUPERAntiSpyware
      2008-02-11 11:32 . 2008-02-11 11:32 <REP> d-------- C:\Documents and Settings\denis\Application Data\SUPERAntiSpyware.com
      2008-02-11 11:32 . 2008-02-11 11:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
      2008-02-11 10:18 . 2008-02-11 10:19 <REP> d-------- C:\Program Files\Crawler
      2008-02-11 09:57 . 2008-03-03 09:02 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
      2008-02-11 09:57 . 2008-02-11 10:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-02-11 09:45 . 2008-02-11 10:50 714 ---hs---- C:\WINDOWS\system32\nknwsqnj.ini
      2008-02-11 08:01 . 2008-03-03 14:32 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
      2008-02-07 13:35 . 2008-02-07 13:35 <REP> d-------- C:\Program Files\Lavasoft
      2008-02-07 13:35 . 2008-02-07 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2008-02-06 11:00 . 2008-02-06 11:01 <REP> d-------- C:\Program Files\SPIT_Expert

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-04 17:32 --------- d-----w C:\Documents and Settings\denis\Application Data\StarOffice8
      2008-03-03 08:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-02-13 12:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
      2008-02-11 10:32 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
      2008-02-11 07:07 --------- d-----w C:\Program Files\Trend Micro
      2008-01-31 17:03 --------- d-----w C:\Documents and Settings\denis\Application Data\Azureus
      2008-01-31 12:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
      2008-01-15 08:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
      2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
      2007-10-26 10:04 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat
      2007-10-31 14:01 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007103120071101\index.dat
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2007-08-02 13:00 15360]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2007-09-26 11:22 1694208]
      "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]
      "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
      "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
      "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 13:44 1953792]
      "Matrox PowerDesk 8"="C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" [2005-08-10 11:43 102400]
      "pccguide.exe"="C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe" [2006-09-29 07:24 3121152]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
      "vspdfprsrv.exe"="C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe" [2004-07-14 22:33 905216]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-08-02 13:00 15360]
      "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 09:01 437160]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "TSClientMSIUninstaller"="cmd.exe" [2007-08-02 13:00 400896 C:\WINDOWS\system32\cmd.exe]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegistryTools"= 0 (0x0)

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
      C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

      R2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;"C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [2008-01-16 09:46]
      R3 MTXPARH;MTXPARH;C:\WINDOWS\system32\DRIVERS\MTXPARHM.sys [2005-08-10 12:54]
      S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
      S3 SQLWriter;Enregistreur VSS SQL Server;"c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddb41936-83b7-11dc-9614-806d6172696f}]
      \Shell\AutoRun\command - D:\Bin\Assetup.exe

      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-04 18:33:02
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\Program Files\Sun\StarOffice 8\program\soffice.exe
      C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
      c:\program files\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      C:\Program Files\UPHClean\uphclean.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-04 18:35:06 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-03-04 17:34:55
      .
      2008-03-04 12:00:41 --- E O F ---
      Bonjour,

      j'ai bien reçu le message et j'ai effectué les 2 scans, comme indiqué...

      Voici les rapports:

      VirtumundoBeGone

      [03/04/2008, 18:22:16] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\denis\Bureau\VirtumundoBeGone.exe" )
      [03/04/2008, 18:22:21] - Detected System Information:
      [03/04/2008, 18:22:21] - Windows Version: 5.1.2600, Service Pack 2
      [03/04/2008, 18:22:21] - Current Username: denis (Admin)
      [03/04/2008, 18:22:21] - Windows is in NORMAL mode.
      [03/04/2008, 18:22:21] - Searching for Browser Helper Objects:
      [03/04/2008, 18:22:21] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
      [03/04/2008, 18:22:21] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
      [03/04/2008, 18:22:21] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [03/04/2008, 18:22:21] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
      [03/04/2008, 18:22:21] - Finished Searching Browser Helper Objects
      [03/04/2008, 18:22:21] - Finishing up...
      [03/04/2008, 18:22:21] - Nothing found! Exiting...


      ComboFix 08-03-04.2 - denis 2008-03-04 18:29:49.1 - NTFSx86 MINIMAL
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1770 [GMT 1:00]
      Endroit: C:\Documents and Settings\denis\Bureau\ComboFix.exe

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\cookies.ini
      C:\WINDOWS\system32\guosepin.ini
      C:\WINDOWS\system32\jaabhyxq.ini
      C:\WINDOWS\system32\khxbpavj.ini

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-04 10:13 . 2008-03-04 10:13 <REP> d-------- C:\fsaua.data
      2008-03-04 09:36 . 2008-03-04 09:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2008-03-04 08:26 . 2008-03-04 08:26 <REP> d-------- C:\Documents and Settings\denis\Application Data\Grisoft
      2008-03-04 08:26 . 2008-03-04 08:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-03-04 08:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
      2008-03-03 16:12 . 2008-03-03 16:12 <REP> d-------- C:\WINDOWS\ERUNT
      2008-03-03 16:03 . 2008-03-03 16:17 <REP> d-------- C:\SDFix
      2008-03-03 15:40 . 2008-03-03 15:40 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
      2008-03-03 15:39 . 2008-03-04 08:53 <REP> d-------- C:\Program Files\The Cleaner Free
      2008-02-28 17:11 . 2008-02-28 17:11 <REP> d-------- C:\VundoFix Backups
      2008-02-25 07:47 . 2008-02-28 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
      2008-02-21 17:45 . 2008-02-21 17:45 <REP> d-------- C:\Program Files\Yahoo!
      2008-02-12 13:37 . 2008-02-12 13:37 <REP> d-------- C:\rdm6
      2008-02-11 12:30 . 2008-03-03 10:17 <REP> d-------- C:\Program Files\Trojan Remover
      2008-02-11 11:32 . 2008-03-04 18:26 <REP> d-------- C:\Program Files\SUPERAntiSpyware
      2008-02-11 11:32 . 2008-02-11 11:32 <REP> d-------- C:\Documents and Settings\denis\Application Data\SUPERAntiSpyware.com
      2008-02-11 11:32 . 2008-02-11 11:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
      2008-02-11 10:18 . 2008-02-11 10:19 <REP> d-------- C:\Program Files\Crawler
      2008-02-11 09:57 . 2008-03-03 09:02 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
      2008-02-11 09:57 . 2008-02-11 10:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-02-11 09:45 . 2008-02-11 10:50 714 ---hs---- C:\WINDOWS\system32\nknwsqnj.ini
      2008-02-11 08:01 . 2008-03-03 14:32 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
      2008-02-07 13:35 . 2008-02-07 13:35 <REP> d-------- C:\Program Files\Lavasoft
      2008-02-07 13:35 . 2008-02-07 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2008-02-06 11:00 . 2008-02-06 11:01 <REP> d-------- C:\Program Files\SPIT_Expert

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-04 17:32 --------- d-----w C:\Documents and Settings\denis\Application Data\StarOffice8
      2008-03-03 08:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-02-13 12:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
      2008-02-11 10:32 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
      2008-02-11 07:07 --------- d-----w C:\Program Files\Trend Micro
      2008-01-31 17:03 --------- d-----w C:\Documents and Settings\denis\Application Data\Azureus
      2008-01-31 12:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
      2008-01-15 08:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
      2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
      2007-10-26 10:04 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat
      2007-10-31 14:01 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007103120071101\index.dat
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2007-08-02 13:00 15360]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2007-09-26 11:22 1694208]
      "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]
      "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
      "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
      "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 13:44 1953792]
      "Matrox PowerDesk 8"="C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" [2005-08-10 11:43 102400]
      "pccguide.exe"="C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe" [2006-09-29 07:24 3121152]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
      "vspdfprsrv.exe"="C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe" [2004-07-14 22:33 905216]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-08-02 13:00 15360]
      "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 09:01 437160]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "TSClientMSIUninstaller"="cmd.exe" [2007-08-02 13:00 400896 C:\WINDOWS\system32\cmd.exe]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegistryTools"= 0 (0x0)

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
      C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

      R2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;"C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [2008-01-16 09:46]
      R3 MTXPARH;MTXPARH;C:\WINDOWS\system32\DRIVERS\MTXPARHM.sys [2005-08-10 12:54]
      S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
      S3 SQLWriter;Enregistreur VSS SQL Server;"c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddb41936-83b7-11dc-9614-806d6172696f}]
      \Shell\AutoRun\command - D:\Bin\Assetup.exe

      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-04 18:33:02
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\Program Files\Sun\StarOffice 8\program\soffice.exe
      C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
      c:\program files\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      C:\Program Files\UPHClean\uphclean.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-04 18:35:06 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-03-04 17:34:55
      .
      2008-03-04 12:00:41 --- E O F ---



      Après redémarrage, j'ai réinstallé Ccleaner et j'ai retenté de le lancer...
      --- même "jetage" que précédamment...

      Il semblerait que le bougre soit très coriace...

      J'espère que les rapports pourront servir pour trouver une faille dans son système...

      A+ pour de nouvelles manip...
      0
  2. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    parfait, poursuit en faisant ceci

    Télécharge Navilog1
    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Clique sur navilog1.zip pour télécharger navilog1.exe.
    enregistre-le sur ton bureau.

    Ensuite Double Clique sur navilog1.exe pour Lancer l'Installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    +

    2)Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

    clic droit sur ton fichier clean.zip
    dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
    Double-clic sur clean.
    Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1
    un rapport va etre généré,
    poste le

    3) peux tu me préciser ta page d'accueil habituelle ?
    -->connais tu ce lien?--> https://www.ldlc.com/
    --> la toolbar yahoo , tu l'utilises ?
    -->Toolbar: &Crawler Toolbar =pas terrible du tout!

    poste moi les 2 rapports + precisions stp

    A+
    0
    1. pinpin0174
       
      Bonsoir,

      Je suis sur un autre PC et je ne pourrais pas faire la manip ce soir... j'effectuerais Navilog et clean demain matin à la première heure... et je ferais passer les rapports et les indications complémentaires dès que les scans auront été effectués...

      Concernant ldlc, c'est le fournisseur de mon PC... c'est un revendeur de matériel informatique... et c'est effectivement ma page d'acceuil... si ça peut présenter un risque, je peux changer...

      Concernant la toolbar Yahoo, je ne l'utilise pas particulèrement et je ne c'est plus trop comment elle a été installée...
      Je peux sans problème la virer... C'est bientot le printemps, il faut faire un peu de nettoyage...

      Bonne soirée et surement à demain...
      0
  3. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    ok ca marche

    si https://www.ldlc.com/ est ta page d'accueil conserve la pas de soucis,
    la barre yahoo,tu en as probablement "hérité " en téléchargeant ccleaner car par défault elle est cochée

    je te joint le lien pour bien config CCleaner au cas ou..

    --> http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    Bonne soirée, a Demain
    0
    1. pinpin0174
       
      Bonjour,

      Comme prévu, le combat a redémarré... de bonne heure et de bonne humeur... il faut rester positif...

      J'ai effectué les 2 procédures demandées, je joint les différents rapports...

      --- Navilog:

      Search Navipromo version 3.5.0 commencé le 05/03/2008 à 7:42:55,09

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 7.0.5730.11
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***




      *** Recherche dossiers dans C:\WINDOWS ***



      *** Recherche dossiers dans C:\Program Files ***



      *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




      *** Recherche dossiers dans "C:\Documents and Settings\denis\applic~1" ***



      *** Recherche dossiers dans "C:\Documents and Settings\denis\locals~1\applic~1" ***



      *** Recherche dossiers dans "C:\Documents and Settings\denis\menudm~1\progra~1" ***


      *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans C:\WINDOWS\system32 *

      * Recherche dans "C:\Documents and Settings\denis\locals~1\applic~1" *



      *** Recherche fichiers ***




      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans C:\WINDOWS\system32 :


      * Dans "C:\Documents and Settings\denis\locals~1\applic~1" :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 05/03/2008 à 7:44:10,37 ***

      Il semblerait qu'il n'est rien trouvé... mais je ne suis pas vraiment expert dans l'analyse des rapports...

      ---------------------------------------------------------

      --- clean:

      Je ne sais pas exatement ce que je doit joindre, car il y a plusieurs fichiers qui se sont crées... je les mets tous...

      De plus, à la fin de l'éxécution, il m'a demandé de faire parvenir un fichier compressé (.rar) (upload_moi_FAVRE.tar.gz) à Malekal.com... a priori, il n'a pas réussis à passer...

      Voici les différents fichiers crées après éxécution de clean:

      * Fichier upload.txt:
      C:\WINDOWS\System32\PerfStringBackup.INI -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfh040.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfh00C.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfh009.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfc040.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfc00C.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\perfc009.dat -->03/03/2008 08:36:05
      C:\WINDOWS\System32\wpa.dbl -->03/03/2008 07:53:37
      C:\WINDOWS\System32\default_user_class.dat.LOG -->28/02/2008 17:09:41
      C:\WINDOWS\System32\mapisvc.inf -->13/02/2008 13:01:11
      C:\WINDOWS\System32\nknwsqnj.ini -->11/02/2008 10:50:31
      C:\WINDOWS\System32\mrt.exe -->05/02/2008 00:09:46
      C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:54:27
      C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:20:28
      C:\WINDOWS\System32\lsdelete.exe -->14/12/2007 11:32:52
      C:\WINDOWS\System32\TZLog.log -->12/12/2007 17:08:35
      C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->10/12/2007 10:51:51
      C:\WINDOWS\System32\wininet.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\webcheck.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\urlmon.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\url.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\occache.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mstime.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\msrating.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mshtmled.dll -->07/12/2007 02:42:21

      C:\WINDOWS\WindowsUpdate.log -->05/03/2008 07:33:47
      C:\WINDOWS\0.log -->05/03/2008 07:31:42
      C:\WINDOWS\bootstat.dat -->05/03/2008 07:31:19
      C:\WINDOWS\SchedLgU.Txt -->04/03/2008 18:56:32
      C:\WINDOWS\system.ini -->04/03/2008 18:32:59
      C:\WINDOWS\CPC10Q.INI -->09/01/2008 08:47:26
      C:\WINDOWS\WORDPAD.INI -->16/12/2007 09:43:54
      C:\WINDOWS\REGLOCS.OLD -->31/10/2007 14:19:21
      C:\WINDOWS\smscfg.ini -->26/10/2007 12:58:50
      C:\WINDOWS\win.ini -->26/10/2007 12:19:37
      C:\WINDOWS\Ascd_tmp.ini -->26/10/2007 12:12:09
      C:\WINDOWS\AS_Debug.txt -->26/10/2007 12:03:32
      C:\WINDOWS\control.ini -->26/10/2007 10:52:58
      C:\WINDOWS\WMSysPr9.prx -->26/10/2007 10:52:55
      C:\WINDOWS\ODBCINST.INI -->26/10/2007 10:52:02


      * fichier upload2.txt
      C:\WINDOWS\System32\mrt.exe -->05/02/2008 00:09:46
      C:\WINDOWS\System32\lsdelete.exe -->14/12/2007 11:32:52
      C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:54:27
      C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:20:28
      C:\WINDOWS\System32\wininet.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\webcheck.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\urlmon.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\url.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\occache.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mstime.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\msrating.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mshtmled.dll -->07/12/2007 02:42:21

      * rapport_clean.txt
      05/03/2008 a 7:52:49,71

      *** Recherche des fichiers dans C:

      *** Recherche des fichiers dans C:\WINDOWS\

      *** Recherche des fichiers dans C:\WINDOWS\system32

      *** Recherche des fichiers dans C:\Program Files
      *** Fin du rapport !

      * resultat_clean.txt
      Veuillez svp envoyer le fichier C:\upload_moi_FAVRE.tar.gz a l'adresse http://upload.malekal.com

      -----------------------------------------------------------------------------------------------------------

      Après ces différentes manip, j'ai refait le test Ccleaner et le résultat est toujours identique... nettoyage ok, mais lorsque je veux passer sur le registre... "jetage"... et scratchage complet de Ccleaner...
      J'ai fait 3 essais, et c'est pareille dans l'autre sens... en commençant d'abord par les registres...

      D'autre part, il y a un point que je n'avait pas précisé, mais dans mes différents essais, j'avais installé Spydoctor (version gratuite) et le fait de l'avoir installé me bloquait le poste... par contre, ça ne me scratchait plus Ccleaner...
      Je n'est pas pu faire le test avec mon logiciel de dessin (bricscad), car à chaque fois le poste était très ralentit et il se bloquait avant que je puisse lancer le programme...
      J'ai vu que Spydoctor pouvait bloquer l'éxecution de "virus ou autres m---es" au démarrage, c'est peut être cela qui bloque le poste lorsque Spydoctor est installé... Aujourd'hui, il est complétement désinstallé...

      Bonne journée et à très bientot...

      Sincères salutations.
      0
  4. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    Bonjour,pinpin0174 !

    Tu peux supprimer navilog+ clean, + les rapport les concernanat-->rien d'interressant
    On poursuit.., ca risque d'etre long ,lance l'analyse a un moment ou tu n'as pas besoin de ton pc , car ne fais rien d'autre durant le scan
    copies dans un doc texte ce message si besoin car tu n'en auras pas l'accés en mode sans echec

    1) **redemarre en mode sans echec**

    2) relance hijacktis
    coches seulement ces lignes pour le moment

    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

    clc sur fix cheked

    3)Affiche Dossiers Cachés et Demasque les Extansions
    Démarrer>poste de travail>outil (en haut)>option dossier>affichage

    Coche--> "afficher les dossiers cachés"
    Décoche--> "masquer les extansions des fichiers dont le type est connu
    Répondre oui au message de windows
    Décoche--> "masquer les fichiers protégés du système (recommandé)
    Répondre oui au message de windows
    Puis--> appliquer -->ok

    4)Lance AVG
    clique sur le bouton Mise à jour.
    Clique ensuite sur Analyse
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées.
    --> Analyse complète du système.
    Si un fichier est infecté en fin d'analyse
    Choisis l'option--> " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce Fichier Texte sur ton Bureau.
    Copie/Colle le Rapport ici

    5) relance CCleaner (essayes)
    -->nettoyage windows, application =registre

    6)Recaches les extantions et les dossiers

    7) Redemarre le pc

    -->poste moi le rapport AVG+ un nouveau hijack (mode normal )

    bon courage

    a plus tard
    0
    1. pinpin0174
       
      J'ai à nouveau tout fait comme spécifié, et il semble que ce ne soit pas encore bon...

      Voila les rapports:

      --- AVG, après démarrage en mode sans echec, fixe des lignes indiquées par Hijackthis, activation et desactivation dans l'affichage...

      AVG n'a rien trouvé d'anormal...

      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 11:36:32 05/03/2008

      + Résultat de l'analyse:



      Rien à signaler.



      Fin du rapport

      -------------------------------------------------------------

      Nettoyage par Ccleaner en mode sans echec... sans problème...
      Dans cette configuration, Ccleaner fonctionne normalement, sans scratch et "Bricscad" V8 (logiciel de dessin) aussi...

      Après redémarrage du PC, les choses se compliquent...
      ---> scratchage de Ccleaner... comme avant
      ---> Alerte Windows... Antivirus non reconnu... pourtant, lorsque je vais sur l'antivirus, tout est opérationnel...
      De plus, le pare feu (windows) s'est désactivé tout seul... je l'ai réactivé...

      Autre point surprenant, comme je l'avais déjà précisé ultérieurement il me semble, lorsque j'ouvre un fichier de dessin (dwg), avec la version Bricscad V7, ça ne scratche pas... pour l'instant... mais, à la première ouverture du fichier, un fichier "archive rar" du nom du fichier avec comme terminason .R18, apparait dans le répertoire ou j'ai ouvert le fichier .dwg... ne serait ce pas un cheval de troie?...
      Je vais l'envoyer à "Trend Micro" pour avoir leur avis... mais je ne sais pas si il voudrons bien me répondre... car je n'ai toujours aucune nouvelle de leur part suite à mon appel et à mon envoi d'un rapport Hijackthis... réalisé à leur demande...

      En parlant de rapport Hijackthis, voici celui que j'ai réalisé, en mode normal, après les différentes manip. effectuées

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:44:48, on 05/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.20733)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
      C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Matrox Graphics Inc\PowerDesk HF\Matrox.PowerDesk.PDeskNet.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Sun\StarOffice 8\program\soffice.exe
      C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
      c:\program files\matrox graphics inc\powerdesk hf\Matrox.PowerDesk.Communications.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      C:\Program Files\UPHClean\uphclean.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\hijackthis\HiJackThis.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tsc.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ldlc.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
      O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
      O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
      O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
      O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent
      O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe --background
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
      O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
      O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
      O18 - Protocol: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Program Files\Fichiers communs\Bricscad\BrxProtIE.dll
      O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    re,

    laisses le pare feu de windows désactivé-->tu en as deja un en service

    -->O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
    tu ne dois en avoir qu'un car il y a conflit entre les deux autrement ..

    a toute à l'heure :-)
    0
    1. pinpin0174
       
      ok à tout à l'heure, car là il faut vraiment allez manger, car sinon, je vais manquer d'énergie pour cet après midi...
      0
  7. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    tu as eut le temps de digérer je présume ;-D

    alors Poursuivons ...

    Télécharge diaghelp ci dessous, (le tuto est avec )
    http://www.malekal.com/DiagHelp/DiagHelp.php

    puis

    Télécharges SDFIX via le lien ci dessous, --> utilisation avec (Merci à philo 2100)
    http://leblogdeclaude.blogspot.com/2007/10/faire-un-scan-avec-sdfix.html

    poste moi les 2 rapports stp
    0
  8. pinpin0174
     
    Bon, j'ai fait éxécuter DiagHelp et SDFix, je fais parvenir les rapports...
    Lorsque je j'ai téléchérgé Diaghelp, j'ai eu un message d'alerte de ma protection internet... et lorsque que je l'ai éxécuté, j'ai eu un blocage de ma protection résidente, qui le considérais comme un Trojan...
    Est ce normal?...

    J'espère que malgrè tout le processus c'est bien déroulé...

    De plus lorsque le message est partis sur le site de malekal, j'ai eu le même message que ce matin... "fichier non valide" ou quelque chose comme cela... j'aurais du le noter comme il faut...

    --- Rapport diaghelp...

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    explorer.exe pid: 2016
    Command line: C:\WINDOWS\Explorer.EXE

    Base Size Version Path
    0x44080000 0xcf000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
    0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
    0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
    0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
    0x44360000 0x5cd000 7.00.6000.20733 C:\WINDOWS\system32\ieframe.dll
    0x44160000 0x127000 7.00.6000.20733 C:\WINDOWS\system32\urlmon.dll
    0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
    0x442b0000 0x3c000 7.00.6000.20733 C:\WINDOWS\system32\webcheck.dll
    0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
    0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
    0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
    0x10000000 0x14000 1.00.0000.1008 C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
    0x01c40000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
    0x62860000 0x47000 8.00.0000.8935 C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
    0x60b30000 0x18000 8.00.0000.8938 C:\Program Files\Sun\StarOffice 8\program\uwinapi.dll
    0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Sun\StarOffice 8\program\MSVCR71.dll
    0x62410000 0x8e000 4.05.2003.0120 C:\Program Files\Sun\StarOffice 8\program\stlport_vc7145.dll
    0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Sun\StarOffice 8\program\MSVCP71.dll
    0x01c60000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
    0x01cc0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    0x01f10000 0x48000 15.00.0000.1419 C:\Program Files\Trend Micro\Internet Security 2007\Tmdshell.dll
    0x014a0000 0xf000 1.00.0000.1004 C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL
    0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
    0x02060000 0x2d000 C:\Program Files\WinRAR\rarext.dll
    0x02490000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x02a10000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x01f60000 0x2e000 1.01.0000.0015 C:\Program Files\Spyware Terminator\sptcontmenu.dll
    0x00a80000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    0x6d7c0000 0x79000 6.00.0030.0005 C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    winlogon.exe pid: 956
    Command line: winlogon.exe

    Base Size Version Path
    0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x10000000 0x49000 1.00.0000.1046 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    0x44080000 0xcf000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
    0x01150000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
    0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
    0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
    0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\WINDOWS\system32

    02/08/2007 13:00 6 144 csrss.exe
    1 fichier(s) 6 144 octets
    0 Rép(s) 28 901 519 360 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\WINDOWS\Downloaded Program Files

    04/03/2008 11:08 <REP> .
    04/03/2008 11:08 <REP> ..
    27/02/2008 15:59 290 816 auc_lib.dll
    27/02/2008 15:59 541 ca.pub
    27/02/2008 15:59 495 616 daas_s.dll
    26/10/2007 10:51 65 desktop.ini
    27/02/2008 16:00 262 144 fscax.dll
    27/02/2008 15:59 614 fscax.inf
    27/02/2008 15:59 588 392 gatelauncher.exe
    11/01/2007 18:59 3 752 HcmsL10NStr.ini
    25/09/2007 01:33 1 055 jinstall-6u3.inf
    07/02/2008 14:06 1 248 oscan8.inf
    05/02/2008 15:50 475 136 oscan82.ocx
    17/01/2007 11:53 3 085 TmHcms.ini
    05/02/2007 19:56 335 872 TmHCMSMgr.dll
    05/02/2007 19:57 741 TmHcmsX.inf
    13/01/2007 19:11 58 TmHcmsX.ini
    05/02/2007 19:57 409 600 TmHcmsX.ocx
    17/01/2007 11:57 1 506 TmSvcUrl.ini
    17 fichier(s) 2 870 241 octets

    Total des fichiers listés :
    17 fichier(s) 2 870 241 octets
    2 Rép(s) 28 901 519 360 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    Export de la clef SharedTaskScheduler

    exports des policies

    Export des clefs sensibles..
    Rechercher adresses sensibles dans le fichier HOSTS...
    catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-05 16:07:23
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden services & system hive ...

    IPC error: 2 Le fichier spécifié est introuvable.
    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden services: 0
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitListHead

    4 - System
    308 - uphclean.exe
    364 - SMax4.exe
    416 - pccguide.exe
    432 - Matrox.PowerDes
    452 - vspdfprsrv.exe
    552 - avgas.exe
    580 - ctfmon.exe
    612 - SUPERAntiSpywar
    744 - soffice.bin
    784 - Matrox.PowerDes
    932 - csrss.exe
    956 - winlogon.exe
    1000 - services.exe
    1012 - lsass.exe
    1220 - svchost.exe
    1288 - svchost.exe
    1392 - guard.exe
    1412 - svchost.exe
    1508 - PcCtlCom.exe
    1568 - svchost.exe
    1660 - svchost.exe
    1728 - aawservice.exe
    1944 - Tmntsrv.exe
    1988 - TmPfw.exe
    2016 - explorer.exe
    2044 - cmd.exe
    2116 - tmproxy.exe
    2528 - SpywareTerminat
    2572 - alg.exe
    2976 - PcScnSrv.exe
    3040 - sp_rsser.exe

    Total number of processes = 32
    NOTE: Under WinXP, this will not show all processes.

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    804D7000 - \WINDOWS\system32\ntkrnlpa.exe
    806E2000 - \WINDOWS\system32\hal.dll
    BADA8000 - \WINDOWS\system32\KDCOM.DLL
    BACB8000 - \WINDOWS\system32\BOOTVID.dll
    BA778000 - ACPI.sys
    BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
    BA767000 - pci.sys
    BA8A8000 - isapnp.sys
    BAE70000 - pciide.sys
    BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    BA8B8000 - MountMgr.sys
    BA748000 - ftdisk.sys
    BADAC000 - dmload.sys
    BA722000 - dmio.sys
    BAB30000 - PartMgr.sys
    BA8C8000 - VolSnap.sys
    BA70A000 - atapi.sys
    BA8D8000 - jraid.sys
    BA6F2000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
    BA8E8000 - disk.sys
    BA8F8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    BA6D2000 - fltMgr.sys
    BA6C0000 - sr.sys
    BA6A9000 - KSecDD.sys
    BA61C000 - Ntfs.sys
    BA5EF000 - NDIS.sys
    BA5D4000 - Mup.sys
    BADAE000 - JGOGO.sys
    BAA38000 - \SystemRoot\system32\DRIVERS\intelppm.sys
    BA50D000 - \SystemRoot\system32\DRIVERS\MTXPARHM.sys
    BA4F9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    BABF0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
    BA4D6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
    BABF8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
    BA4B1000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
    BA49C000 - \SystemRoot\system32\DRIVERS\Rtenicxp.sys
    BAA48000 - \SystemRoot\system32\DRIVERS\cdrom.sys
    BA48B000 - \SystemRoot\system32\DRIVERS\serial.sys
    BAD70000 - \SystemRoot\system32\DRIVERS\serenum.sys
    BADC2000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
    BA477000 - \SystemRoot\system32\DRIVERS\parport.sys
    BAA58000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
    BAC00000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
    BAEC0000 - \SystemRoot\system32\DRIVERS\audstub.sys
    BAA68000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
    BAD74000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
    BA460000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
    BAA78000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
    BAA88000 - \SystemRoot\system32\DRIVERS\raspptp.sys
    BAC08000 - \SystemRoot\system32\DRIVERS\TDI.SYS
    BA44F000 - \SystemRoot\system32\DRIVERS\psched.sys
    BAA98000 - \SystemRoot\system32\DRIVERS\msgpc.sys
    BAC10000 - \SystemRoot\system32\DRIVERS\ptilink.sys
    BAC18000 - \SystemRoot\system32\DRIVERS\raspti.sys
    BA41E000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
    BAAA8000 - \SystemRoot\system32\DRIVERS\termdd.sys
    BAC20000 - \SystemRoot\system32\DRIVERS\mouclass.sys
    BADC4000 - \SystemRoot\system32\DRIVERS\swenum.sys
    BA3D3000 - \SystemRoot\system32\DRIVERS\ks.sys
    BA37A000 - \SystemRoot\system32\DRIVERS\update.sys
    BAD90000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
    BA1BB000 - \SystemRoot\system32\DRIVERS\TM_CFW.sys
    BAAB8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    BAAE8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
    BADC8000 - \SystemRoot\system32\DRIVERS\USBD.SYS
    BA086000 - \SystemRoot\system32\drivers\ADIHdAud.sys
    BA062000 - \SystemRoot\system32\drivers\portcls.sys
    BAAF8000 - \SystemRoot\system32\drivers\drmk.sys
    BA04B000 - \SystemRoot\system32\drivers\AEAudio.sys
    B9FEB000 - \SystemRoot\system32\drivers\Senfilt.sys
    BADD4000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    BAEC2000 - \SystemRoot\System32\Drivers\Null.SYS
    BADD6000 - \SystemRoot\System32\Drivers\Beep.SYS
    BAEC4000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
    BAC40000 - \SystemRoot\System32\drivers\vga.sys
    BADD8000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    BADDA000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
    BAC48000 - \SystemRoot\System32\Drivers\Msfs.SYS
    BAC50000 - \SystemRoot\System32\Drivers\Npfs.SYS
    BAD54000 - \SystemRoot\system32\DRIVERS\rasacd.sys
    B9F90000 - \SystemRoot\system32\DRIVERS\ipsec.sys
    B9F37000 - \SystemRoot\system32\DRIVERS\tcpip.sys
    B9EEE000 - \SystemRoot\system32\DRIVERS\ipnat.sys
    B9EC6000 - \SystemRoot\system32\DRIVERS\netbt.sys
    BAB18000 - \SystemRoot\system32\DRIVERS\wanarp.sys
    B9EA4000 - \SystemRoot\System32\drivers\afd.sys
    BA968000 - \SystemRoot\system32\DRIVERS\netbios.sys
    B9E93000 - \SystemRoot\system32\DRIVERS\tmtdi.sys
    BA978000 - \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys
    BAC58000 - \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
    B9E68000 - \SystemRoot\system32\DRIVERS\rdbss.sys
    B9DF9000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
    BA9D8000 - \SystemRoot\System32\Drivers\Fips.SYS
    BAED4000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
    B9FDF000 - \SystemRoot\system32\DRIVERS\hidusb.sys
    BA9F8000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
    BAC88000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
    B9FDB000 - \SystemRoot\system32\DRIVERS\mouhid.sys
    BAA08000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    B9DAE000 - \SystemRoot\System32\Drivers\Fastfat.SYS
    B9D96000 - \SystemRoot\System32\Drivers\dump_atapi.sys
    BADE8000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BF800000 - \SystemRoot\System32\win32k.sys
    B9FC7000 - \SystemRoot\System32\drivers\Dxapi.sys
    BAC90000 - \SystemRoot\System32\watchdog.sys
    BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
    BAFBC000 - \SystemRoot\System32\drivers\dxgthk.sys
    BF9D5000 - \SystemRoot\System32\MTXPARHD.dll
    BFFA0000 - \SystemRoot\System32\ATMFD.DLL
    BA9E8000 - \SystemRoot\system32\drivers\Tmpreflt.sys
    B166C000 - \SystemRoot\system32\drivers\VsapiNT.sys
    B1602000 - \SystemRoot\system32\drivers\TmXPFlt.sys
    BA3FA000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
    B1205000 - \SystemRoot\system32\drivers\wdmaud.sys
    B15B2000 - \SystemRoot\system32\drivers\sysaudio.sys
    B0E19000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
    B0D9F000 - \SystemRoot\system32\DRIVERS\srv.sys
    B0C6F000 - \??\C:\WINDOWS\system32\drivers\tmcomm.sys
    B0C52000 - \SystemRoot\system32\DRIVERS\tm_mbd_c.sys
    B0C4E000 - \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
    BABE8000 - \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS
    B08C9000 - \SystemRoot\System32\Drivers\HTTP.sys
    B0584000 - \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
    B04B9000 - \SystemRoot\system32\drivers\kmixer.sys
    BAC78000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
    BAFCF000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 126

    Liste des programmes installes

    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office system
    Activation Assistant for the 2007 Microsoft Office suites
    Activation Assistant for the 2007 Microsoft Office suites
    Ad-Aware 2007
    Adobe Reader 8.1.2 - Français
    Archiveur WinRAR
    AVG Anti-Spyware 7.5
    Bricscad 7.1
    Bricscad 8.1
    CCleaner (remove only)
    Client Windows Rights Management avec Service Pack 2
    Crawler Toolbar with Web Security Guard
    Expert
    eXPert PDF V3
    Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)
    Gestionnaire de contacts professionnels pour Outlook 2007 SP1
    Gestionnaire de contacts professionnels pour Outlook 2007 SP1
    Google Toolbar for Internet Explorer
    Google Toolbar for Internet Explorer
    High Definition Audio Driver Package - KB888111
    HijackThis 2.0.2
    Hotfix for Windows XP (KB915865)
    Java(TM) 6 Update 3
    JMB36X Raid Configurer
    Lecteur Windows Media 11
    Matrox Driver
    Matrox PowerDesk-HF
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1 French Language Pack
    Microsoft .NET Framework 2.0
    Microsoft .NET Framework 2.0
    Microsoft .NET Framework 2.0 Language Pack - FRA
    Microsoft .NET Framework 3.0
    Microsoft .NET Framework 3.0
    Microsoft .NET Framework 3.0 French Language Pack
    Microsoft Internationalized Domain Names Mitigation APIs
    Microsoft National Language Support Downlevel APIs
    Microsoft Office 2003 Web Components
    Microsoft Office 2007 Primary Interop Assemblies
    Microsoft Office Access MUI (French) 2007
    Microsoft Office Excel MUI (French) 2007
    Microsoft Office Language Pack 2007 Service Pack 1 (SP1)
    Microsoft Office Outlook MUI (French) 2007
    Microsoft Office PowerPoint MUI (French) 2007
    Microsoft Office Professional Hybrid 2007
    Microsoft Office Proof (Arabic) 2007
    Microsoft Office Proof (Dutch) 2007
    Microsoft Office Proof (English) 2007
    Microsoft Office Proof (French) 2007
    Microsoft Office Proof (German) 2007
    Microsoft Office Proof (Spanish) 2007
    Microsoft Office Proofing (French) 2007
    Microsoft Office Publisher MUI (French) 2007
    Microsoft Office Shared MUI (French) 2007
    Microsoft Office Small Business Connectivity Components
    Microsoft Office Word MUI (French) 2007
    Microsoft Software Update for Web Folders (French) 12
    Microsoft SQL Server 2005
    Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
    Microsoft SQL Server Native Client
    Microsoft SQL Server VSS Writer
    Microsoft Visual C++ 2005 Redistributable
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
    Mise à jour de sécurité pour Windows XP (KB933729)
    Mise à jour de sécurité pour Windows XP (KB937894)
    Mise à jour de sécurité pour Windows XP (KB941202)
    Mise à jour de sécurité pour Windows XP (KB941568)
    Mise à jour de sécurité pour Windows XP (KB941569)
    Mise à jour de sécurité pour Windows XP (KB941644)
    Mise à jour de sécurité pour Windows XP (KB943055)
    Mise à jour de sécurité pour Windows XP (KB943460)
    Mise à jour de sécurité pour Windows XP (KB943485)
    Mise à jour de sécurité pour Windows XP (KB944653)
    Mise à jour de sécurité pour Windows XP (KB946026)
    Mise à jour pour Windows XP (KB942763)
    Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
    Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0
    MSXML 6.0 Parser (KB933579)
    PDFCreator
    REALTEK GbE & FE Ethernet PCI-E NIC Driver
    Security Update pour Microsoft .NET Framework 2.0 (KB928365)
    SoundMAX
    SP2 de compatibilité descendante du client Windows Rights Management
    Spybot - Search & Destroy
    Spyware Terminator
    StarOffice 8
    SUPERAntiSpyware Free Edition
    The Cleaner 5
    Trend Micro PC-cillin Internet Security 2007
    Trend Micro PC-cillin Internet Security 2007
    Update for Outlook 2007 Junk Email Filter (kb944965)
    User Profile Hive Cleanup Service
    VBA (2627.01)
    WebFldrs XP
    Windows Communication Foundation
    Windows Communication Foundation Language Pack - FRA
    Windows Genuine Advantage Notifications (KB905474)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Imaging Component
    Windows Internet Explorer 7
    Windows Presentation Foundation
    Windows Workflow Foundation
    Windows Workflow Foundation FR Language Pack
    WinZip 11.1
    XML Paper Specification Shared Components Language Pack 1.0
    XML Paper Specification Shared Components Pack 1.0
    Yahoo! Install Manager
    Yahoo! Toolbar
    Yahoo! Toolbar avec bloqueur de fenêtres pop-up

    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files

    05/03/2008 13:57 <REP> .
    05/03/2008 13:57 <REP> ..
    26/10/2007 12:25 <REP> Activation Assistant for the 2007 Microsoft Office suites
    14/02/2008 11:43 <REP> Adobe
    26/10/2007 12:09 <REP> Analog Devices
    06/11/2007 10:59 <REP> Bricscad
    10/12/2007 08:34 <REP> Bricsys
    05/03/2008 11:47 <REP> CCleaner
    26/10/2007 10:49 <REP> ComPlus Applications
    11/02/2008 10:19 <REP> Crawler
    14/12/2007 10:58 <REP> Fichiers communs
    11/12/2007 07:42 <REP> Google
    04/03/2008 08:25 <REP> Grisoft
    26/10/2007 12:03 <REP> Intel
    13/02/2008 13:00 <REP> Internet Explorer
    10/12/2007 10:51 <REP> Java
    07/02/2008 13:35 <REP> Lavasoft
    26/10/2007 12:15 <REP> Matrox Graphics Inc
    26/10/2007 10:49 <REP> Messenger
    26/10/2007 10:56 <REP> microsoft frontpage
    03/03/2008 09:24 <REP> Microsoft Office
    26/10/2007 12:24 <REP> Microsoft Small Business
    26/10/2007 12:23 <REP> Microsoft SQL Server
    26/10/2007 12:21 <REP> Microsoft Visual Studio
    26/10/2007 12:21 <REP> Microsoft Works
    26/10/2007 12:21 <REP> Microsoft.NET
    26/10/2007 10:50 <REP> Movie Maker
    26/10/2007 11:01 <REP> MSBuild
    26/10/2007 10:48 <REP> MSN
    26/10/2007 10:49 <REP> MSN Gaming Zone
    26/10/2007 12:27 <REP> MSXML 6.0
    05/03/2008 10:50 <REP> Navilog1
    26/10/2007 10:50 <REP> NetMeeting
    26/10/2007 10:55 <REP> Occt 1.1.0
    26/10/2007 10:49 <REP> Online Services
    26/10/2007 10:50 <REP> Outlook Express
    19/12/2007 16:27 <REP> PDFCreator
    26/10/2007 12:12 <REP> Realtek
    26/10/2007 10:59 <REP> Reference Assemblies
    26/10/2007 10:51 <REP> Services en ligne
    06/02/2008 11:01 <REP> SPIT_Expert
    03/03/2008 09:02 <REP> Spybot - Search & Destroy
    05/03/2008 14:14 <REP> Spyware Terminator
    31/10/2007 15:24 <REP> Sun
    05/03/2008 09:10 <REP> SUPERAntiSpyware
    04/03/2008 08:53 <REP> The Cleaner Free
    11/02/2008 08:07 <REP> Trend Micro
    03/03/2008 10:17 <REP> Trojan Remover
    26/10/2007 10:55 <REP> UPHClean
    14/12/2007 10:58 <REP> Visage
    26/10/2007 10:49 <REP> Windows Media Connect 2
    26/10/2007 10:52 <REP> Windows Media Player
    26/10/2007 10:49 <REP> Windows NT
    03/03/2008 17:13 <REP> WinRAR
    15/01/2008 09:18 <REP> WinZip
    26/10/2007 10:56 <REP> xerox
    21/02/2008 17:45 <REP> Yahoo!
    0 fichier(s) 0 octets
    57 Rép(s) 28 901 240 832 octets libres
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files\fichiers communs

    14/12/2007 10:58 <REP> .
    14/12/2007 10:58 <REP> ..
    05/11/2007 10:30 <REP> Adobe
    31/10/2007 16:35 <REP> BricsCad
    10/12/2007 08:27 <REP> Bricsys
    03/03/2008 09:27 <REP> DESIGNER
    26/10/2007 12:06 <REP> InstallShield
    10/12/2007 10:51 <REP> Java
    05/03/2008 13:01 <REP> Microsoft Shared
    26/10/2007 10:50 <REP> MSSoap
    26/10/2007 12:46 <REP> ODBC
    26/10/2007 10:50 <REP> Services
    26/10/2007 12:46 <REP> SpeechEngines
    26/10/2007 12:19 <REP> System
    14/12/2007 10:58 <REP> Visage Software
    11/02/2008 11:32 <REP> Wise Installation Wizard
    0 fichier(s) 0 octets
    16 Rép(s) 28 901 240 832 octets libres
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    05/03/2008 13:02 <REP> .
    05/03/2008 13:02 <REP> ..
    26/10/2007 12:19 <REP> 1036
    28/08/2007 23:55 973 168 MSONSEXT.DLL
    26/10/2006 19:12 40 256 MSOSV.DLL
    03/06/1999 11:09 122 937 MSOWS409.DLL
    07/03/2001 06:00 127 033 MSOWS40c.DLL
    4 fichier(s) 1 263 394 octets
    3 Rép(s) 28 901 240 832 octets libres

    c:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdel.exe
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\patch.exe
    c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe
    c:\Documents and Settings\denis\Bureau\ComboFix.exe
    c:\Documents and Settings\denis\Bureau\SDFix.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkup.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkupsvc.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\Patch.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TSC.EXE
    c:\Documents and Settings\denis\Mes documents\Téléchargement\CH-SkiChallenge08.exe
    c:\Documents and Settings\denis\Mes documents\Téléchargement\wrar370fr.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\aaw2007.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\sdsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spybotsd152.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spywareterminator_sftsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\SUPERAntiSpyware.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\trsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\avgas-setup-7.5.1.43.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\combofix.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\hijackthis\HiJackThis.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\bricscad.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\userprofilemanager.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup204.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup205.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\install.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMFLEX6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMMEF6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMOSS6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\ROSETTE.EXE
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\tmaseng.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\PATCHW32.DLL
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\TmUpdate.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\oe_engine\01\tmaseng.dll
    c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\mia.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\dllTSCLIBMT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\mfc80u.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcp80.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcr80.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_au.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ec.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ms.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_shm.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ss.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_tsc.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_vs.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\tm_pccchk.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\ui_ms.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\BPMNT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ciussi32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\dllTSCLIBMT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchbld.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchw32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ssapi32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\tm_tsc.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TmUpdate.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\vsapi32.dll
    c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

    ****** Fin du rapport DiagHelp
    Veuillez svp envoyer le fichier C:\upload_moi_FAVRE.tar.gz a l'adresse http://upload.malekal.com

    ----------------------------------------------------------

    --- Rapport SDFix:

    [b]SDFix: Version 1.153 /b

    Run by denis on 05/03/2008 at 16:27

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services /b:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files /b:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check /b:

    [b]Final Check /b:

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-05 16:29:44
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Watchdog\Display]
    "ShutdownCount"=dword:00000082
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Epoch]
    "Epoch"=dword:00002ce3
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{421466D9-0F19-40DD-9282-050368E49913}]
    "LeaseObtainedTime"=dword:47ce9813
    "T1"=dword:47cf40d3
    "T2"=dword:47cfbf63
    "LeaseTerminatesTime"=dword:47cfe993
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\{421466D9-0F19-40DD-9282-050368E49913}\Parameters\Tcpip]
    "LeaseObtainedTime"=dword:47ce9813
    "T1"=dword:47cf40d3
    "T2"=dword:47cfbf63
    "LeaseTerminatesTime"=dword:47cfe993

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services /b:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    [b]Remaining Files /b:

    [b]Files with Hidden Attributes /b:

    Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

    [b]Finished!/b

    Bonne lecture... surtout avec le premier rapport...

    A+
    0
  9. pinpin0174
     
    Bon, j'ai fait éxécuter DiagHelp et SDFix, je fais parvenir les rapports...
    Lorsque je j'ai téléchérgé Diaghelp, j'ai eu un message d'alerte de ma protection internet... et lorsque que je l'ai éxécuté, j'ai eu un blocage de ma protection résidente, qui le considérais comme un Trojan...
    Est ce normal?...

    J'espère que malgrè tout le processus c'est bien déroulé...

    De plus lorsque le message est partis sur le site de malekal, j'ai eu le même message que ce matin... "fichier non valide" ou quelque chose comme cela... j'aurais du le noter comme il faut...

    --- Rapport diaghelp...

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    explorer.exe pid: 2016
    Command line: C:\WINDOWS\Explorer.EXE

    Base Size Version Path
    0x44080000 0xcf000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
    0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
    0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
    0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
    0x44360000 0x5cd000 7.00.6000.20733 C:\WINDOWS\system32\ieframe.dll
    0x44160000 0x127000 7.00.6000.20733 C:\WINDOWS\system32\urlmon.dll
    0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
    0x442b0000 0x3c000 7.00.6000.20733 C:\WINDOWS\system32\webcheck.dll
    0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
    0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
    0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
    0x10000000 0x14000 1.00.0000.1008 C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
    0x01c40000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
    0x62860000 0x47000 8.00.0000.8935 C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
    0x60b30000 0x18000 8.00.0000.8938 C:\Program Files\Sun\StarOffice 8\program\uwinapi.dll
    0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Sun\StarOffice 8\program\MSVCR71.dll
    0x62410000 0x8e000 4.05.2003.0120 C:\Program Files\Sun\StarOffice 8\program\stlport_vc7145.dll
    0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Sun\StarOffice 8\program\MSVCP71.dll
    0x01c60000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
    0x01cc0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    0x01f10000 0x48000 15.00.0000.1419 C:\Program Files\Trend Micro\Internet Security 2007\Tmdshell.dll
    0x014a0000 0xf000 1.00.0000.1004 C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL
    0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
    0x02060000 0x2d000 C:\Program Files\WinRAR\rarext.dll
    0x02490000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x02a10000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x01f60000 0x2e000 1.01.0000.0015 C:\Program Files\Spyware Terminator\sptcontmenu.dll
    0x00a80000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    0x6d7c0000 0x79000 6.00.0030.0005 C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll

    ListDLLs v2.25 - DLL lister for Win9x/NT
    Copyright (C) 1997-2004 Mark Russinovich
    Sysinternals - www.sysinternals.com

    ------------------------------------------------------------------------------
    winlogon.exe pid: 956
    Command line: winlogon.exe

    Base Size Version Path
    0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
    0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
    0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
    0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
    0x10000000 0x49000 1.00.0000.1046 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    0x44080000 0xcf000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
    0x01150000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
    0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
    0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
    0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
    0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
    0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\WINDOWS\system32

    02/08/2007 13:00 6 144 csrss.exe
    1 fichier(s) 6 144 octets
    0 Rép(s) 28 901 519 360 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\WINDOWS\Downloaded Program Files

    04/03/2008 11:08 <REP> .
    04/03/2008 11:08 <REP> ..
    27/02/2008 15:59 290 816 auc_lib.dll
    27/02/2008 15:59 541 ca.pub
    27/02/2008 15:59 495 616 daas_s.dll
    26/10/2007 10:51 65 desktop.ini
    27/02/2008 16:00 262 144 fscax.dll
    27/02/2008 15:59 614 fscax.inf
    27/02/2008 15:59 588 392 gatelauncher.exe
    11/01/2007 18:59 3 752 HcmsL10NStr.ini
    25/09/2007 01:33 1 055 jinstall-6u3.inf
    07/02/2008 14:06 1 248 oscan8.inf
    05/02/2008 15:50 475 136 oscan82.ocx
    17/01/2007 11:53 3 085 TmHcms.ini
    05/02/2007 19:56 335 872 TmHCMSMgr.dll
    05/02/2007 19:57 741 TmHcmsX.inf
    13/01/2007 19:11 58 TmHcmsX.ini
    05/02/2007 19:57 409 600 TmHcmsX.ocx
    17/01/2007 11:57 1 506 TmSvcUrl.ini
    17 fichier(s) 2 870 241 octets

    Total des fichiers listés :
    17 fichier(s) 2 870 241 octets
    2 Rép(s) 28 901 519 360 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    Export de la clef SharedTaskScheduler

    exports des policies

    Export des clefs sensibles..
    Rechercher adresses sensibles dans le fichier HOSTS...
    catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-05 16:07:23
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden services & system hive ...

    IPC error: 2 Le fichier spécifié est introuvable.
    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden services: 0
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitListHead

    4 - System
    308 - uphclean.exe
    364 - SMax4.exe
    416 - pccguide.exe
    432 - Matrox.PowerDes
    452 - vspdfprsrv.exe
    552 - avgas.exe
    580 - ctfmon.exe
    612 - SUPERAntiSpywar
    744 - soffice.bin
    784 - Matrox.PowerDes
    932 - csrss.exe
    956 - winlogon.exe
    1000 - services.exe
    1012 - lsass.exe
    1220 - svchost.exe
    1288 - svchost.exe
    1392 - guard.exe
    1412 - svchost.exe
    1508 - PcCtlCom.exe
    1568 - svchost.exe
    1660 - svchost.exe
    1728 - aawservice.exe
    1944 - Tmntsrv.exe
    1988 - TmPfw.exe
    2016 - explorer.exe
    2044 - cmd.exe
    2116 - tmproxy.exe
    2528 - SpywareTerminat
    2572 - alg.exe
    2976 - PcScnSrv.exe
    3040 - sp_rsser.exe

    Total number of processes = 32
    NOTE: Under WinXP, this will not show all processes.

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    804D7000 - \WINDOWS\system32\ntkrnlpa.exe
    806E2000 - \WINDOWS\system32\hal.dll
    BADA8000 - \WINDOWS\system32\KDCOM.DLL
    BACB8000 - \WINDOWS\system32\BOOTVID.dll
    BA778000 - ACPI.sys
    BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
    BA767000 - pci.sys
    BA8A8000 - isapnp.sys
    BAE70000 - pciide.sys
    BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    BA8B8000 - MountMgr.sys
    BA748000 - ftdisk.sys
    BADAC000 - dmload.sys
    BA722000 - dmio.sys
    BAB30000 - PartMgr.sys
    BA8C8000 - VolSnap.sys
    BA70A000 - atapi.sys
    BA8D8000 - jraid.sys
    BA6F2000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
    BA8E8000 - disk.sys
    BA8F8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    BA6D2000 - fltMgr.sys
    BA6C0000 - sr.sys
    BA6A9000 - KSecDD.sys
    BA61C000 - Ntfs.sys
    BA5EF000 - NDIS.sys
    BA5D4000 - Mup.sys
    BADAE000 - JGOGO.sys
    BAA38000 - \SystemRoot\system32\DRIVERS\intelppm.sys
    BA50D000 - \SystemRoot\system32\DRIVERS\MTXPARHM.sys
    BA4F9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    BABF0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
    BA4D6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
    BABF8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
    BA4B1000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
    BA49C000 - \SystemRoot\system32\DRIVERS\Rtenicxp.sys
    BAA48000 - \SystemRoot\system32\DRIVERS\cdrom.sys
    BA48B000 - \SystemRoot\system32\DRIVERS\serial.sys
    BAD70000 - \SystemRoot\system32\DRIVERS\serenum.sys
    BADC2000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
    BA477000 - \SystemRoot\system32\DRIVERS\parport.sys
    BAA58000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
    BAC00000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
    BAEC0000 - \SystemRoot\system32\DRIVERS\audstub.sys
    BAA68000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
    BAD74000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
    BA460000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
    BAA78000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
    BAA88000 - \SystemRoot\system32\DRIVERS\raspptp.sys
    BAC08000 - \SystemRoot\system32\DRIVERS\TDI.SYS
    BA44F000 - \SystemRoot\system32\DRIVERS\psched.sys
    BAA98000 - \SystemRoot\system32\DRIVERS\msgpc.sys
    BAC10000 - \SystemRoot\system32\DRIVERS\ptilink.sys
    BAC18000 - \SystemRoot\system32\DRIVERS\raspti.sys
    BA41E000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
    BAAA8000 - \SystemRoot\system32\DRIVERS\termdd.sys
    BAC20000 - \SystemRoot\system32\DRIVERS\mouclass.sys
    BADC4000 - \SystemRoot\system32\DRIVERS\swenum.sys
    BA3D3000 - \SystemRoot\system32\DRIVERS\ks.sys
    BA37A000 - \SystemRoot\system32\DRIVERS\update.sys
    BAD90000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
    BA1BB000 - \SystemRoot\system32\DRIVERS\TM_CFW.sys
    BAAB8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    BAAE8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
    BADC8000 - \SystemRoot\system32\DRIVERS\USBD.SYS
    BA086000 - \SystemRoot\system32\drivers\ADIHdAud.sys
    BA062000 - \SystemRoot\system32\drivers\portcls.sys
    BAAF8000 - \SystemRoot\system32\drivers\drmk.sys
    BA04B000 - \SystemRoot\system32\drivers\AEAudio.sys
    B9FEB000 - \SystemRoot\system32\drivers\Senfilt.sys
    BADD4000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    BAEC2000 - \SystemRoot\System32\Drivers\Null.SYS
    BADD6000 - \SystemRoot\System32\Drivers\Beep.SYS
    BAEC4000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
    BAC40000 - \SystemRoot\System32\drivers\vga.sys
    BADD8000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    BADDA000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
    BAC48000 - \SystemRoot\System32\Drivers\Msfs.SYS
    BAC50000 - \SystemRoot\System32\Drivers\Npfs.SYS
    BAD54000 - \SystemRoot\system32\DRIVERS\rasacd.sys
    B9F90000 - \SystemRoot\system32\DRIVERS\ipsec.sys
    B9F37000 - \SystemRoot\system32\DRIVERS\tcpip.sys
    B9EEE000 - \SystemRoot\system32\DRIVERS\ipnat.sys
    B9EC6000 - \SystemRoot\system32\DRIVERS\netbt.sys
    BAB18000 - \SystemRoot\system32\DRIVERS\wanarp.sys
    B9EA4000 - \SystemRoot\System32\drivers\afd.sys
    BA968000 - \SystemRoot\system32\DRIVERS\netbios.sys
    B9E93000 - \SystemRoot\system32\DRIVERS\tmtdi.sys
    BA978000 - \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys
    BAC58000 - \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
    B9E68000 - \SystemRoot\system32\DRIVERS\rdbss.sys
    B9DF9000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
    BA9D8000 - \SystemRoot\System32\Drivers\Fips.SYS
    BAED4000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
    B9FDF000 - \SystemRoot\system32\DRIVERS\hidusb.sys
    BA9F8000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
    BAC88000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
    B9FDB000 - \SystemRoot\system32\DRIVERS\mouhid.sys
    BAA08000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    B9DAE000 - \SystemRoot\System32\Drivers\Fastfat.SYS
    B9D96000 - \SystemRoot\System32\Drivers\dump_atapi.sys
    BADE8000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BF800000 - \SystemRoot\System32\win32k.sys
    B9FC7000 - \SystemRoot\System32\drivers\Dxapi.sys
    BAC90000 - \SystemRoot\System32\watchdog.sys
    BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
    BAFBC000 - \SystemRoot\System32\drivers\dxgthk.sys
    BF9D5000 - \SystemRoot\System32\MTXPARHD.dll
    BFFA0000 - \SystemRoot\System32\ATMFD.DLL
    BA9E8000 - \SystemRoot\system32\drivers\Tmpreflt.sys
    B166C000 - \SystemRoot\system32\drivers\VsapiNT.sys
    B1602000 - \SystemRoot\system32\drivers\TmXPFlt.sys
    BA3FA000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
    B1205000 - \SystemRoot\system32\drivers\wdmaud.sys
    B15B2000 - \SystemRoot\system32\drivers\sysaudio.sys
    B0E19000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
    B0D9F000 - \SystemRoot\system32\DRIVERS\srv.sys
    B0C6F000 - \??\C:\WINDOWS\system32\drivers\tmcomm.sys
    B0C52000 - \SystemRoot\system32\DRIVERS\tm_mbd_c.sys
    B0C4E000 - \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
    BABE8000 - \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS
    B08C9000 - \SystemRoot\System32\Drivers\HTTP.sys
    B0584000 - \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
    B04B9000 - \SystemRoot\system32\drivers\kmixer.sys
    BAC78000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
    BAFCF000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 126

    Liste des programmes installes

    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office Suite Service Pack 1 (SP1)
    2007 Microsoft Office system
    Activation Assistant for the 2007 Microsoft Office suites
    Activation Assistant for the 2007 Microsoft Office suites
    Ad-Aware 2007
    Adobe Reader 8.1.2 - Français
    Archiveur WinRAR
    AVG Anti-Spyware 7.5
    Bricscad 7.1
    Bricscad 8.1
    CCleaner (remove only)
    Client Windows Rights Management avec Service Pack 2
    Crawler Toolbar with Web Security Guard
    Expert
    eXPert PDF V3
    Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)
    Gestionnaire de contacts professionnels pour Outlook 2007 SP1
    Gestionnaire de contacts professionnels pour Outlook 2007 SP1
    Google Toolbar for Internet Explorer
    Google Toolbar for Internet Explorer
    High Definition Audio Driver Package - KB888111
    HijackThis 2.0.2
    Hotfix for Windows XP (KB915865)
    Java(TM) 6 Update 3
    JMB36X Raid Configurer
    Lecteur Windows Media 11
    Matrox Driver
    Matrox PowerDesk-HF
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1
    Microsoft .NET Framework 1.1 French Language Pack
    Microsoft .NET Framework 2.0
    Microsoft .NET Framework 2.0
    Microsoft .NET Framework 2.0 Language Pack - FRA
    Microsoft .NET Framework 3.0
    Microsoft .NET Framework 3.0
    Microsoft .NET Framework 3.0 French Language Pack
    Microsoft Internationalized Domain Names Mitigation APIs
    Microsoft National Language Support Downlevel APIs
    Microsoft Office 2003 Web Components
    Microsoft Office 2007 Primary Interop Assemblies
    Microsoft Office Access MUI (French) 2007
    Microsoft Office Excel MUI (French) 2007
    Microsoft Office Language Pack 2007 Service Pack 1 (SP1)
    Microsoft Office Outlook MUI (French) 2007
    Microsoft Office PowerPoint MUI (French) 2007
    Microsoft Office Professional Hybrid 2007
    Microsoft Office Proof (Arabic) 2007
    Microsoft Office Proof (Dutch) 2007
    Microsoft Office Proof (English) 2007
    Microsoft Office Proof (French) 2007
    Microsoft Office Proof (German) 2007
    Microsoft Office Proof (Spanish) 2007
    Microsoft Office Proofing (French) 2007
    Microsoft Office Publisher MUI (French) 2007
    Microsoft Office Shared MUI (French) 2007
    Microsoft Office Small Business Connectivity Components
    Microsoft Office Word MUI (French) 2007
    Microsoft Software Update for Web Folders (French) 12
    Microsoft SQL Server 2005
    Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
    Microsoft SQL Server Native Client
    Microsoft SQL Server VSS Writer
    Microsoft Visual C++ 2005 Redistributable
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
    Mise à jour de sécurité pour Windows XP (KB933729)
    Mise à jour de sécurité pour Windows XP (KB937894)
    Mise à jour de sécurité pour Windows XP (KB941202)
    Mise à jour de sécurité pour Windows XP (KB941568)
    Mise à jour de sécurité pour Windows XP (KB941569)
    Mise à jour de sécurité pour Windows XP (KB941644)
    Mise à jour de sécurité pour Windows XP (KB943055)
    Mise à jour de sécurité pour Windows XP (KB943460)
    Mise à jour de sécurité pour Windows XP (KB943485)
    Mise à jour de sécurité pour Windows XP (KB944653)
    Mise à jour de sécurité pour Windows XP (KB946026)
    Mise à jour pour Windows XP (KB942763)
    Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
    Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0
    MSXML 6.0 Parser (KB933579)
    PDFCreator
    REALTEK GbE & FE Ethernet PCI-E NIC Driver
    Security Update pour Microsoft .NET Framework 2.0 (KB928365)
    SoundMAX
    SP2 de compatibilité descendante du client Windows Rights Management
    Spybot - Search & Destroy
    Spyware Terminator
    StarOffice 8
    SUPERAntiSpyware Free Edition
    The Cleaner 5
    Trend Micro PC-cillin Internet Security 2007
    Trend Micro PC-cillin Internet Security 2007
    Update for Outlook 2007 Junk Email Filter (kb944965)
    User Profile Hive Cleanup Service
    VBA (2627.01)
    WebFldrs XP
    Windows Communication Foundation
    Windows Communication Foundation Language Pack - FRA
    Windows Genuine Advantage Notifications (KB905474)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Imaging Component
    Windows Internet Explorer 7
    Windows Presentation Foundation
    Windows Workflow Foundation
    Windows Workflow Foundation FR Language Pack
    WinZip 11.1
    XML Paper Specification Shared Components Language Pack 1.0
    XML Paper Specification Shared Components Pack 1.0
    Yahoo! Install Manager
    Yahoo! Toolbar
    Yahoo! Toolbar avec bloqueur de fenêtres pop-up

    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files

    05/03/2008 13:57 <REP> .
    05/03/2008 13:57 <REP> ..
    26/10/2007 12:25 <REP> Activation Assistant for the 2007 Microsoft Office suites
    14/02/2008 11:43 <REP> Adobe
    26/10/2007 12:09 <REP> Analog Devices
    06/11/2007 10:59 <REP> Bricscad
    10/12/2007 08:34 <REP> Bricsys
    05/03/2008 11:47 <REP> CCleaner
    26/10/2007 10:49 <REP> ComPlus Applications
    11/02/2008 10:19 <REP> Crawler
    14/12/2007 10:58 <REP> Fichiers communs
    11/12/2007 07:42 <REP> Google
    04/03/2008 08:25 <REP> Grisoft
    26/10/2007 12:03 <REP> Intel
    13/02/2008 13:00 <REP> Internet Explorer
    10/12/2007 10:51 <REP> Java
    07/02/2008 13:35 <REP> Lavasoft
    26/10/2007 12:15 <REP> Matrox Graphics Inc
    26/10/2007 10:49 <REP> Messenger
    26/10/2007 10:56 <REP> microsoft frontpage
    03/03/2008 09:24 <REP> Microsoft Office
    26/10/2007 12:24 <REP> Microsoft Small Business
    26/10/2007 12:23 <REP> Microsoft SQL Server
    26/10/2007 12:21 <REP> Microsoft Visual Studio
    26/10/2007 12:21 <REP> Microsoft Works
    26/10/2007 12:21 <REP> Microsoft.NET
    26/10/2007 10:50 <REP> Movie Maker
    26/10/2007 11:01 <REP> MSBuild
    26/10/2007 10:48 <REP> MSN
    26/10/2007 10:49 <REP> MSN Gaming Zone
    26/10/2007 12:27 <REP> MSXML 6.0
    05/03/2008 10:50 <REP> Navilog1
    26/10/2007 10:50 <REP> NetMeeting
    26/10/2007 10:55 <REP> Occt 1.1.0
    26/10/2007 10:49 <REP> Online Services
    26/10/2007 10:50 <REP> Outlook Express
    19/12/2007 16:27 <REP> PDFCreator
    26/10/2007 12:12 <REP> Realtek
    26/10/2007 10:59 <REP> Reference Assemblies
    26/10/2007 10:51 <REP> Services en ligne
    06/02/2008 11:01 <REP> SPIT_Expert
    03/03/2008 09:02 <REP> Spybot - Search & Destroy
    05/03/2008 14:14 <REP> Spyware Terminator
    31/10/2007 15:24 <REP> Sun
    05/03/2008 09:10 <REP> SUPERAntiSpyware
    04/03/2008 08:53 <REP> The Cleaner Free
    11/02/2008 08:07 <REP> Trend Micro
    03/03/2008 10:17 <REP> Trojan Remover
    26/10/2007 10:55 <REP> UPHClean
    14/12/2007 10:58 <REP> Visage
    26/10/2007 10:49 <REP> Windows Media Connect 2
    26/10/2007 10:52 <REP> Windows Media Player
    26/10/2007 10:49 <REP> Windows NT
    03/03/2008 17:13 <REP> WinRAR
    15/01/2008 09:18 <REP> WinZip
    26/10/2007 10:56 <REP> xerox
    21/02/2008 17:45 <REP> Yahoo!
    0 fichier(s) 0 octets
    57 Rép(s) 28 901 240 832 octets libres
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files\fichiers communs

    14/12/2007 10:58 <REP> .
    14/12/2007 10:58 <REP> ..
    05/11/2007 10:30 <REP> Adobe
    31/10/2007 16:35 <REP> BricsCad
    10/12/2007 08:27 <REP> Bricsys
    03/03/2008 09:27 <REP> DESIGNER
    26/10/2007 12:06 <REP> InstallShield
    10/12/2007 10:51 <REP> Java
    05/03/2008 13:01 <REP> Microsoft Shared
    26/10/2007 10:50 <REP> MSSoap
    26/10/2007 12:46 <REP> ODBC
    26/10/2007 10:50 <REP> Services
    26/10/2007 12:46 <REP> SpeechEngines
    26/10/2007 12:19 <REP> System
    14/12/2007 10:58 <REP> Visage Software
    11/02/2008 11:32 <REP> Wise Installation Wizard
    0 fichier(s) 0 octets
    16 Rép(s) 28 901 240 832 octets libres
    Le volume dans le lecteur C s'appelle Système
    Le numéro de série du volume est 2CB0-114D

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    05/03/2008 13:02 <REP> .
    05/03/2008 13:02 <REP> ..
    26/10/2007 12:19 <REP> 1036
    28/08/2007 23:55 973 168 MSONSEXT.DLL
    26/10/2006 19:12 40 256 MSOSV.DLL
    03/06/1999 11:09 122 937 MSOWS409.DLL
    07/03/2001 06:00 127 033 MSOWS40c.DLL
    4 fichier(s) 1 263 394 octets
    3 Rép(s) 28 901 240 832 octets libres

    c:\Documents and Settings\All Users\Application Data\Spyware Terminator\sp_rsdel.exe
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\patch.exe
    c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe
    c:\Documents and Settings\denis\Bureau\ComboFix.exe
    c:\Documents and Settings\denis\Bureau\SDFix.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkup.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkupsvc.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\Patch.exe
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TSC.EXE
    c:\Documents and Settings\denis\Mes documents\Téléchargement\CH-SkiChallenge08.exe
    c:\Documents and Settings\denis\Mes documents\Téléchargement\wrar370fr.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\aaw2007.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\sdsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spybotsd152.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spywareterminator_sftsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\SUPERAntiSpyware.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\trsetup.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\avgas-setup-7.5.1.43.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\combofix.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\hijackthis\HiJackThis.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\bricscad.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\userprofilemanager.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup204.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup205.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\install.exe
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMFLEX6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMMEF6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMOSS6.EXE
    c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\ROSETTE.EXE
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\tmaseng.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\PATCHW32.DLL
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\TmUpdate.dll
    c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\oe_engine\01\tmaseng.dll
    c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\mia.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Formats\7z.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\dllTSCLIBMT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\mfc80u.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcp80.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcr80.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_au.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ec.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ms.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_shm.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ss.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_tsc.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_vs.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\tm_pccchk.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\ui_ms.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\BPMNT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ciussi32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\dllTSCLIBMT.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchbld.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchw32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ssapi32.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\tm_tsc.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TmUpdate.dll
    c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\vsapi32.dll
    c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

    ****** Fin du rapport DiagHelp
    Veuillez svp envoyer le fichier C:\upload_moi_FAVRE.tar.gz a l'adresse http://upload.malekal.com

    ----------------------------------------------------------

    --- Rapport SDFix:

    [b]SDFix: Version 1.153 /b

    Run by denis on 05/03/2008 at 16:27

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services /b:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files /b:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check /b:

    [b]Final Check /b:

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-05 16:29:44
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Watchdog\Display]
    "ShutdownCount"=dword:00000082
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Epoch]
    "Epoch"=dword:00002ce3
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{421466D9-0F19-40DD-9282-050368E49913}]
    "LeaseObtainedTime"=dword:47ce9813
    "T1"=dword:47cf40d3
    "T2"=dword:47cfbf63
    "LeaseTerminatesTime"=dword:47cfe993
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\{421466D9-0F19-40DD-9282-050368E49913}\Parameters\Tcpip]
    "LeaseObtainedTime"=dword:47ce9813
    "T1"=dword:47cf40d3
    "T2"=dword:47cfbf63
    "LeaseTerminatesTime"=dword:47cfe993

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services /b:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    [b]Remaining Files /b:

    [b]Files with Hidden Attributes /b:

    Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

    [b]Finished!/b

    Bonne lecture... surtout avec le premier rapport...

    A+
    0
  10. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    re,

    pour te répondre, pas de soucis pour ton alerte, je te rassure, ce n'est pas un trojan, beaucoup d'outils utilisés dans la désinfection sont considérés comme tel par les antivirus mais pas d'inquiétude à avoir ;-)

    j' 'ai survolé les rapports, je regarderais plus minutieusement un peu plus tard, je dois me sauver quelques heures ...

    cela dit
    -->lance une recherche et supprimes dans--> C:\Program Files

    -->Crawler
    -->Yahoo!
    -->Navilog1

    -->Vérifies tes processus

    Va dans demarrer puis--> executer
    tape: msconfig
    puis ok
    ensuite onglet demarrage
    la liste des processus va apparaitre

    compares les processus un a un avec ceux de la pacman liste--> http://assiste.com.free.fr/p/pacman/pacman_startup_list_q.html

    desactive si necessaire

    -->regarde bien l'orthographe des processus,
    car ceux ci prennent l'apparence de processus indispensables,
    seul une lettre change, minuscule au lieu de majuscule par exemple, ca peut preter a confusion

    -->profite pour alléger ton demarrage (qui est lourd )

    -->Désactives l'inutile-->SAUF ---->l'antivirus , et le pare feu indispensables au demarrage
    le reste comme avg+ superantispyware n'est pas utile d'etre lancer au demarrage entre autre , ca peut éventuellement creer des conflits

    Si tu es amené à décocher des cases, windows va te demander si tu veux redemarrer maintenant ou quitter sans demarrer,
    redemarre, un message va apparaitre précisant " vous avez changer votre façon de demarrer.." coche la case afin que le message n'apparaisse plus...

    a plus tard

    ps: fait moi part de ce que tu trouveras, (si tu trouves des "processus hostiles")
    0
    1. pinpin0174
       
      Message bien reçu...
      Je dois moi aussi m'absenter, donc je ferais la manip. demain matin et je te tiendrais informer des résultats...

      Merci et bonne soirée.

      A+
      0
  11. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    All right , see you later .. ;-)

    bonne soirée a toi également ..
    0
    1. pinpin0174
       
      Rebonjour,

      Pour le poste qui ne se lançait pas c'est bon... mauvais branchement...

      Pour le reste... Statu quo... Nouveau essais avec désactivation du traffic internet et de Internet security... effet identique... scratch très rapide si pour ouvrir mon fichier .dwg, je double clic directement sur le fichier, dans son répertoire, sans ouvrir l'application avant... et scratche après un temps un peu plus long si je lance d'abord l'application et que j'ouvre le fichier par le biais de l'application...
      Dans ce cas, avant le scratche, j'ai eu un message de modification de programme... je n'est pas eu le temps de noter le chemin du programme, ni la destination...
      ---> chemin --> C:\....
      ---> destination --> D:\....
      Le fichier ouvert se trouve sur le D... Les programmes sur le C... étrange, étrange...

      Toujours pas de nouvelle de trend Micro... Peut être qu'il se réveillerons lorsque l'on aura résolu le problème...

      Atout hasard, je joint un rapport Hijackthis effectué maintenant:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 13:16:09, on 06/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.20733)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
      C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      C:\Program Files\UPHClean\uphclean.exe
      C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ldlc.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
      O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
      O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
      O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
      O18 - Protocol: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Program Files\Fichiers communs\Bricscad\BrxProtIE.dll
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
      O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
      O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
      O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
      O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
      0
    2. pinpin0174
       
      Rebonjour,
      Compte tenu de toutes les modif apportées depuis le dernier rapport Diaghelp et SDFix, j'en ai réeffectué un enesmble...
      On ne sais jamais, en comparant avec les anciens...

      ---> DiagHelp version v1.4 - http://www.malekal.com
      excute le 06/03/2008 à 14:09:41,10


      Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
      C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->06/03/2008 14:09:37
      C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->06/03/2008 14:09:32
      C:\WINDOWS\prefetch\RUNDLL32.EXE-2620A810.pf -->06/03/2008 14:09:12
      C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->06/03/2008 14:07:25
      C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->06/03/2008 14:07:15
      C:\WINDOWS\prefetch\TMOAGENT.EXE-002D689D.pf -->06/03/2008 14:05:39
      C:\WINDOWS\prefetch\PCCUPDUI.EXE-024A13C4.pf -->06/03/2008 14:04:50
      C:\WINDOWS\prefetch\PCCLIENT.EXE-353F9F88.pf -->06/03/2008 14:04:50
      C:\WINDOWS\prefetch\MSIMN.EXE-38BA891D.pf -->06/03/2008 13:56:29
      C:\WINDOWS\prefetch\TSC.EXE-3562C0B0.pf -->06/03/2008 13:35:24

      C:\WINDOWS\System32\drivers\MS1000.sys -->03/03/2008 15:40:19
      C:\WINDOWS\System32\drivers\mrxdav.sys -->18/12/2007 10:51:35
      C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54
      C:\WINDOWS\System32\drivers\tcpip.sys -->30/10/2007 17:53:32
      C:\WINDOWS\System32\drivers\redbook.sys -->26/09/2007 13:30:56
      C:\WINDOWS\System32\drivers\audstub.sys -->26/09/2007 13:29:20
      C:\WINDOWS\System32\drivers\USBSTOR.SYS -->26/09/2007 12:30:56

      C:\WINDOWS\System32\FNTCACHE.DAT -->06/03/2008 08:00:44
      C:\WINDOWS\System32\PerfStringBackup.INI -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfh040.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfh00C.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfh009.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfc040.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfc00C.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\perfc009.dat -->05/03/2008 17:19:24
      C:\WINDOWS\System32\wpa.dbl -->05/03/2008 12:54:57
      C:\WINDOWS\System32\default_user_class.dat.LOG -->28/02/2008 17:09:41
      C:\WINDOWS\System32\mapisvc.inf -->13/02/2008 13:01:11
      C:\WINDOWS\System32\nknwsqnj.ini -->11/02/2008 10:50:31
      C:\WINDOWS\System32\mrt.exe -->05/02/2008 00:09:46
      C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:54:27
      C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:20:28
      C:\WINDOWS\System32\TZLog.log -->12/12/2007 17:08:35
      C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->10/12/2007 10:51:51
      C:\WINDOWS\System32\wininet.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\webcheck.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\urlmon.dll -->07/12/2007 02:42:22
      C:\WINDOWS\System32\url.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\occache.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mstime.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\msrating.dll -->07/12/2007 02:42:21
      C:\WINDOWS\System32\mshtmled.dll -->07/12/2007 02:42:21

      C:\WINDOWS\WindowsUpdate.log -->06/03/2008 13:01:25
      C:\WINDOWS\0.log -->06/03/2008 11:04:26
      C:\WINDOWS\bootstat.dat -->06/03/2008 11:04:12
      C:\WINDOWS\SchedLgU.Txt -->06/03/2008 11:03:28
      C:\WINDOWS\ntbtlog.txt -->06/03/2008 09:51:44
      C:\WINDOWS\pccillin.ini -->06/03/2008 09:47:58
      C:\WINDOWS\win.ini -->06/03/2008 09:41:33
      C:\WINDOWS\system.ini -->06/03/2008 09:41:33
      C:\WINDOWS\CPC10Q.INI -->09/01/2008 08:47:26
      C:\WINDOWS\WORDPAD.INI -->16/12/2007 09:43:54
      C:\WINDOWS\REGLOCS.OLD -->31/10/2007 14:19:21
      C:\WINDOWS\smscfg.ini -->26/10/2007 12:58:50
      C:\WINDOWS\Ascd_tmp.ini -->26/10/2007 12:12:09
      C:\WINDOWS\AS_Debug.txt -->26/10/2007 12:03:32
      C:\WINDOWS\control.ini -->26/10/2007 10:52:58

      winlogon.exe
      Verified: Signed
      svchost.exe
      Verified: Signed
      ws2_32.dll
      Verified: Signed
      user32.dll
      Verified: Signed
      tcpip.sys
      Verified: Signed
      ndis.sys
      Verified: Signed
      null.sys
      Verified: Signed


      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      explorer.exe pid: 256
      Command line: C:\WINDOWS\Explorer.EXE

      Base Size Version Path
      0x44080000 0xcf000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
      0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
      0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
      0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
      0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
      0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
      0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
      0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
      0x44360000 0x5cd000 7.00.6000.20733 C:\WINDOWS\system32\ieframe.dll
      0x44160000 0x127000 7.00.6000.20733 C:\WINDOWS\system32\urlmon.dll
      0x442b0000 0x3c000 7.00.6000.20733 C:\WINDOWS\system32\webcheck.dll
      0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
      0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
      0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
      0x10000000 0x48000 15.00.0000.1419 C:\Program Files\Trend Micro\Internet Security 2007\Tmdshell.dll
      0x01f10000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
      0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
      0x02450000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
      0x00c90000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
      0x6d7c0000 0x79000 6.00.0030.0005 C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Java\jre1.6.0_03\bin\MSVCR71.dll
      0x62860000 0x47000 8.00.0000.8935 C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
      0x60b30000 0x18000 8.00.0000.8938 C:\Program Files\Sun\StarOffice 8\program\uwinapi.dll
      0x62410000 0x8e000 4.05.2003.0120 C:\Program Files\Sun\StarOffice 8\program\stlport_vc7145.dll
      0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Sun\StarOffice 8\program\MSVCP71.dll
      0x00f10000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
      0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll
      0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
      0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
      0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
      0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
      0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      winlogon.exe pid: 952
      Command line: winlogon.exe

      Base Size Version Path
      0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
      0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
      0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
      0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
      0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
      0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
      0x76f80000 0x7f000 2001.12.4414.0310 C:\WINDOWS\system32\CLBCATQ.DLL
      0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll


      Le volume dans le lecteur C s'appelle Système
      Le numéro de série du volume est 2CB0-114D

      Répertoire de C:\WINDOWS\system32

      02/08/2007 13:00 6 144 csrss.exe
      1 fichier(s) 6 144 octets
      0 Rép(s) 28 350 058 496 octets libres

      Contenu de Downloaded Program Files
      Le volume dans le lecteur C s'appelle Système
      Le numéro de série du volume est 2CB0-114D

      Répertoire de C:\WINDOWS\Downloaded Program Files

      04/03/2008 11:08 <REP> .
      04/03/2008 11:08 <REP> ..
      27/02/2008 15:59 290 816 auc_lib.dll
      27/02/2008 15:59 541 ca.pub
      27/02/2008 15:59 495 616 daas_s.dll
      26/10/2007 10:51 65 desktop.ini
      27/02/2008 16:00 262 144 fscax.dll
      27/02/2008 15:59 614 fscax.inf
      27/02/2008 15:59 588 392 gatelauncher.exe
      11/01/2007 18:59 3 752 HcmsL10NStr.ini
      25/09/2007 01:33 1 055 jinstall-6u3.inf
      07/02/2008 14:06 1 248 oscan8.inf
      05/02/2008 15:50 475 136 oscan82.ocx
      17/01/2007 11:53 3 085 TmHcms.ini
      05/02/2007 19:56 335 872 TmHCMSMgr.dll
      05/02/2007 19:57 741 TmHcmsX.inf
      13/01/2007 19:11 58 TmHcmsX.ini
      05/02/2007 19:57 409 600 TmHcmsX.ocx
      17/01/2007 11:57 1 506 TmSvcUrl.ini
      17 fichier(s) 2 870 241 octets

      Total des fichiers listés :
      17 fichier(s) 2 870 241 octets
      2 Rép(s) 28 350 046 208 octets libres

      Recherche de rootkit! (Merci S!Ri)

      Recherche d'infections connues

      Export des clefs sensibles..


      Liste des fichiers en exception sur le pare-feu XP SP2

      Export de la clef SharedTaskScheduler



      exports des policies



      Export des clefs sensibles..
      Rechercher adresses sensibles dans le fichier HOSTS...
      catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-06 14:09:56
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden services: 0
      hidden files: 0


      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Process list by traversal of KiWaitListHead

      4 - System
      124 - TmPfw.exe
      256 - explorer.exe
      392 - SMax4.exe
      408 - ctfmon.exe
      688 - PcCtlCom.exe
      832 - Tmntsrv.exe
      928 - csrss.exe
      952 - winlogon.exe
      996 - services.exe
      1008 - lsass.exe
      1212 - svchost.exe
      1280 - svchost.exe
      1404 - svchost.exe
      1560 - svchost.exe
      2120 - alg.exe
      2492 - PcScnSrv.exe
      3584 - cmd.exe
      3692 - msimn.exe

      Total number of processes = 19
      NOTE: Under WinXP, this will not show all processes.

      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Driver/Module list by traversal of PsLoadedModuleList

      804D7000 - \WINDOWS\system32\ntkrnlpa.exe
      806E2000 - \WINDOWS\system32\hal.dll
      BADA8000 - \WINDOWS\system32\KDCOM.DLL
      BACB8000 - \WINDOWS\system32\BOOTVID.dll
      BA778000 - ACPI.sys
      BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
      BA767000 - pci.sys
      BA8A8000 - isapnp.sys
      BAE70000 - pciide.sys
      BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
      BA8B8000 - MountMgr.sys
      BA748000 - ftdisk.sys
      BADAC000 - dmload.sys
      BA722000 - dmio.sys
      BAB30000 - PartMgr.sys
      BA8C8000 - VolSnap.sys
      BA70A000 - atapi.sys
      BA8D8000 - jraid.sys
      BA6F2000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
      BA8E8000 - disk.sys
      BA8F8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
      BA6D2000 - fltMgr.sys
      BA6C0000 - sr.sys
      BA6A9000 - KSecDD.sys
      BA61C000 - Ntfs.sys
      BA5EF000 - NDIS.sys
      BA5D4000 - Mup.sys
      BADAE000 - JGOGO.sys
      BAAD8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
      BA50D000 - \SystemRoot\system32\DRIVERS\MTXPARHM.sys
      BA4F9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
      BABF8000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
      BA4D6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
      BAC00000 - \SystemRoot\system32\DRIVERS\usbehci.sys
      BA4B1000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
      BA49C000 - \SystemRoot\system32\DRIVERS\Rtenicxp.sys
      BAAE8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
      BA48B000 - \SystemRoot\system32\DRIVERS\serial.sys
      BAD64000 - \SystemRoot\system32\DRIVERS\serenum.sys
      BADC4000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
      BA477000 - \SystemRoot\system32\DRIVERS\parport.sys
      BAAF8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
      BAC08000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
      BAEBE000 - \SystemRoot\system32\DRIVERS\audstub.sys
      BAB08000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
      BAD68000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
      BA460000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
      BAB18000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
      BA968000 - \SystemRoot\system32\DRIVERS\raspptp.sys
      BAC10000 - \SystemRoot\system32\DRIVERS\TDI.SYS
      BA44F000 - \SystemRoot\system32\DRIVERS\psched.sys
      BA978000 - \SystemRoot\system32\DRIVERS\msgpc.sys
      BAC18000 - \SystemRoot\system32\DRIVERS\ptilink.sys
      BAC20000 - \SystemRoot\system32\DRIVERS\raspti.sys
      BA41E000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
      BA988000 - \SystemRoot\system32\DRIVERS\termdd.sys
      BAC28000 - \SystemRoot\system32\DRIVERS\mouclass.sys
      BADC6000 - \SystemRoot\system32\DRIVERS\swenum.sys
      BA3D3000 - \SystemRoot\system32\DRIVERS\ks.sys
      BA37A000 - \SystemRoot\system32\DRIVERS\update.sys
      BAD84000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
      BA1BB000 - \SystemRoot\system32\DRIVERS\TM_CFW.sys
      BA998000 - \SystemRoot\System32\Drivers\NDProxy.SYS
      BA9B8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
      BADCA000 - \SystemRoot\system32\DRIVERS\USBD.SYS
      BA0CF000 - \SystemRoot\system32\drivers\ADIHdAud.sys
      BA0AB000 - \SystemRoot\system32\drivers\portcls.sys
      BA9C8000 - \SystemRoot\system32\drivers\drmk.sys
      BA094000 - \SystemRoot\system32\drivers\AEAudio.sys
      BA034000 - \SystemRoot\system32\drivers\Senfilt.sys
      BADCE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
      BAF81000 - \SystemRoot\System32\Drivers\Null.SYS
      BADD0000 - \SystemRoot\System32\Drivers\Beep.SYS
      BAC48000 - \SystemRoot\System32\drivers\vga.sys
      BADD2000 - \SystemRoot\System32\Drivers\mnmdd.SYS
      BADD4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
      BAC50000 - \SystemRoot\System32\Drivers\Msfs.SYS
      BAC58000 - \SystemRoot\System32\Drivers\Npfs.SYS
      BAD3C000 - \SystemRoot\system32\DRIVERS\rasacd.sys
      B9FD9000 - \SystemRoot\system32\DRIVERS\ipsec.sys
      B9F80000 - \SystemRoot\system32\DRIVERS\tcpip.sys
      B9F30000 - \SystemRoot\system32\DRIVERS\netbt.sys
      B9F0F000 - \SystemRoot\system32\DRIVERS\ipnat.sys
      B9EED000 - \SystemRoot\System32\drivers\afd.sys
      BA9D8000 - \SystemRoot\system32\DRIVERS\wanarp.sys
      BA9E8000 - \SystemRoot\system32\DRIVERS\netbios.sys
      B9EDC000 - \SystemRoot\system32\DRIVERS\tmtdi.sys
      B9EB1000 - \SystemRoot\system32\DRIVERS\rdbss.sys
      B9E42000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
      BAA18000 - \SystemRoot\System32\Drivers\Fips.SYS
      BA412000 - \SystemRoot\system32\DRIVERS\hidusb.sys
      BAA38000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      BAC68000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      BA40E000 - \SystemRoot\system32\DRIVERS\mouhid.sys
      BAA48000 - \SystemRoot\System32\Drivers\Cdfs.SYS
      B9E02000 - \SystemRoot\System32\Drivers\dump_atapi.sys
      BADD8000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
      BF800000 - \SystemRoot\System32\win32k.sys
      BA02C000 - \SystemRoot\System32\drivers\Dxapi.sys
      BAC78000 - \SystemRoot\System32\watchdog.sys
      BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
      BAFF1000 - \SystemRoot\System32\drivers\dxgthk.sys
      BF9D5000 - \SystemRoot\System32\MTXPARHD.dll
      BFFA0000 - \SystemRoot\System32\ATMFD.DLL
      BA14B000 - \SystemRoot\system32\drivers\Tmpreflt.sys
      B16D8000 - \SystemRoot\system32\drivers\VsapiNT.sys
      B166E000 - \SystemRoot\system32\drivers\TmXPFlt.sys
      B17EE000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
      B1361000 - \SystemRoot\system32\drivers\wdmaud.sys
      BAA68000 - \SystemRoot\system32\drivers\sysaudio.sys
      B10DC000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
      B0F9A000 - \SystemRoot\system32\DRIVERS\srv.sys
      B0F82000 - \??\C:\WINDOWS\system32\drivers\tmcomm.sys
      B0F65000 - \SystemRoot\system32\DRIVERS\tm_mbd_c.sys
      B0F41000 - \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
      B0CA4000 - \SystemRoot\System32\Drivers\HTTP.sys
      B06FB000 - \SystemRoot\system32\drivers\kmixer.sys
      B06AF000 - \SystemRoot\System32\Drivers\Fastfat.SYS
      BAF37000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

      Total number of drivers = 119

      Liste des programmes installes

      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office Suite Service Pack 1 (SP1)
      2007 Microsoft Office system
      Activation Assistant for the 2007 Microsoft Office suites
      Activation Assistant for the 2007 Microsoft Office suites
      Adobe Reader 8.1.2 - Français
      Bricscad 7.1
      Bricscad 8.1
      Client Windows Rights Management avec Service Pack 2
      Expert
      eXPert PDF V3
      Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)
      Gestionnaire de contacts professionnels pour Outlook 2007 SP1
      Gestionnaire de contacts professionnels pour Outlook 2007 SP1
      Google Toolbar for Internet Explorer
      Google Toolbar for Internet Explorer
      High Definition Audio Driver Package - KB888111
      HijackThis 2.0.2
      Hotfix for Windows XP (KB915865)
      Java(TM) 6 Update 3
      JMB36X Raid Configurer
      Lecteur Windows Media 11
      Matrox Driver
      Matrox PowerDesk-HF
      Microsoft .NET Framework 1.1
      Microsoft .NET Framework 1.1
      Microsoft .NET Framework 1.1 French Language Pack
      Microsoft .NET Framework 2.0 Language Pack - FRA
      Microsoft .NET Framework 2.0 Service Pack 1
      Microsoft .NET Framework 3.0 French Language Pack
      Microsoft .NET Framework 3.0 Service Pack 1
      Microsoft Internationalized Domain Names Mitigation APIs
      Microsoft National Language Support Downlevel APIs
      Microsoft Office 2003 Web Components
      Microsoft Office 2007 Primary Interop Assemblies
      Microsoft Office Access MUI (French) 2007
      Microsoft Office Excel MUI (French) 2007
      Microsoft Office Language Pack 2007 Service Pack 1 (SP1)
      Microsoft Office Outlook MUI (French) 2007
      Microsoft Office PowerPoint MUI (French) 2007
      Microsoft Office Professional Hybrid 2007
      Microsoft Office Proof (Arabic) 2007
      Microsoft Office Proof (Dutch) 2007
      Microsoft Office Proof (English) 2007
      Microsoft Office Proof (French) 2007
      Microsoft Office Proof (German) 2007
      Microsoft Office Proof (Spanish) 2007
      Microsoft Office Proofing (French) 2007
      Microsoft Office Publisher MUI (French) 2007
      Microsoft Office Shared MUI (French) 2007
      Microsoft Office Small Business Connectivity Components
      Microsoft Office Word MUI (French) 2007
      Microsoft Software Update for Web Folders (French) 12
      Microsoft SQL Server 2005
      Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
      Microsoft SQL Server Native Client
      Microsoft SQL Server VSS Writer
      Microsoft Visual C++ 2005 Redistributable
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
      Mise à jour de sécurité pour Windows XP (KB933729)
      Mise à jour de sécurité pour Windows XP (KB937894)
      Mise à jour de sécurité pour Windows XP (KB941202)
      Mise à jour de sécurité pour Windows XP (KB941568)
      Mise à jour de sécurité pour Windows XP (KB941569)
      Mise à jour de sécurité pour Windows XP (KB941644)
      Mise à jour de sécurité pour Windows XP (KB943055)
      Mise à jour de sécurité pour Windows XP (KB943460)
      Mise à jour de sécurité pour Windows XP (KB943485)
      Mise à jour de sécurité pour Windows XP (KB944653)
      Mise à jour de sécurité pour Windows XP (KB946026)
      Mise à jour pour Windows XP (KB942763)
      Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
      Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0
      MSXML 6.0 Parser (KB933579)
      REALTEK GbE & FE Ethernet PCI-E NIC Driver
      Security Update pour Microsoft .NET Framework 2.0 (KB928365)
      SoundMAX
      SP2 de compatibilité descendante du client Windows Rights Management
      StarOffice 8
      Trend Micro PC-cillin Internet Security 2007
      Trend Micro PC-cillin Internet Security 2007
      Update for Outlook 2007 Junk Email Filter (kb944965)
      User Profile Hive Cleanup Service
      VBA (2627.01)
      WebFldrs XP
      Windows Communication Foundation Language Pack - FRA
      Windows Genuine Advantage Notifications (KB905474)
      Windows Genuine Advantage Validation Tool (KB892130)
      Windows Genuine Advantage Validation Tool (KB892130)
      Windows Imaging Component
      Windows Internet Explorer 7
      Windows Presentation Foundation
      Windows Workflow Foundation FR Language Pack
      XML Paper Specification Shared Components Language Pack 1.0
      XML Paper Specification Shared Components Pack 1.0
      Yahoo! Install Manager
      Yahoo! Toolbar



      Le volume dans le lecteur C s'appelle Système
      Le numéro de série du volume est 2CB0-114D

      Répertoire de C:\Program Files

      06/03/2008 10:53 <REP> .
      06/03/2008 10:53 <REP> ..
      26/10/2007 12:25 <REP> Activation Assistant for the 2007 Microsoft Office suites
      14/02/2008 11:43 <REP> Adobe
      26/10/2007 12:09 <REP> Analog Devices
      06/11/2007 10:59 <REP> Bricscad
      10/12/2007 08:34 <REP> Bricsys
      26/10/2007 10:49 <REP> ComPlus Applications
      14/12/2007 10:58 <REP> Fichiers communs
      11/12/2007 07:42 <REP> Google
      04/03/2008 08:25 <REP> Grisoft
      26/10/2007 12:03 <REP> Intel
      13/02/2008 13:00 <REP> Internet Explorer
      10/12/2007 10:51 <REP> Java
      26/10/2007 12:15 <REP> Matrox Graphics Inc
      26/10/2007 10:49 <REP> Messenger
      26/10/2007 10:56 <REP> microsoft frontpage
      03/03/2008 09:24 <REP> Microsoft Office
      26/10/2007 12:24 <REP> Microsoft Small Business
      26/10/2007 12:23 <REP> Microsoft SQL Server
      26/10/2007 12:21 <REP> Microsoft Visual Studio
      26/10/2007 12:21 <REP> Microsoft Works
      26/10/2007 12:21 <REP> Microsoft.NET
      26/10/2007 10:50 <REP> Movie Maker
      26/10/2007 11:01 <REP> MSBuild
      26/10/2007 10:48 <REP> MSN
      26/10/2007 10:49 <REP> MSN Gaming Zone
      26/10/2007 12:27 <REP> MSXML 6.0
      26/10/2007 10:50 <REP> NetMeeting
      26/10/2007 10:55 <REP> Occt 1.1.0
      26/10/2007 10:49 <REP> Online Services
      26/10/2007 10:50 <REP> Outlook Express
      26/10/2007 12:12 <REP> Realtek
      26/10/2007 10:59 <REP> Reference Assemblies
      26/10/2007 10:51 <REP> Services en ligne
      06/02/2008 11:01 <REP> SPIT_Expert
      31/10/2007 15:24 <REP> Sun
      06/03/2008 10:54 <REP> SUPERAntiSpyware
      11/02/2008 08:07 <REP> Trend Micro
      26/10/2007 10:55 <REP> UPHClean
      14/12/2007 10:58 <REP> Visage
      26/10/2007 10:49 <REP> Windows Media Connect 2
      26/10/2007 10:52 <REP> Windows Media Player
      26/10/2007 10:49 <REP> Windows NT
      26/10/2007 10:56 <REP> xerox
      0 fichier(s) 0 octets
      45 Rép(s) 28 338 610 176 octets libres
      Le volume dans le lecteur C s'appelle Système
      Le numéro de série du volume est 2CB0-114D

      Répertoire de C:\Program Files\fichiers communs

      14/12/2007 10:58 <REP> .
      14/12/2007 10:58 <REP> ..
      05/11/2007 10:30 <REP> Adobe
      31/10/2007 16:35 <REP> BricsCad
      10/12/2007 08:27 <REP> Bricsys
      03/03/2008 09:27 <REP> DESIGNER
      26/10/2007 12:06 <REP> InstallShield
      10/12/2007 10:51 <REP> Java
      05/03/2008 13:01 <REP> Microsoft Shared
      26/10/2007 10:50 <REP> MSSoap
      26/10/2007 12:46 <REP> ODBC
      26/10/2007 10:50 <REP> Services
      26/10/2007 12:46 <REP> SpeechEngines
      26/10/2007 12:19 <REP> System
      14/12/2007 10:58 <REP> Visage Software
      06/03/2008 10:54 <REP> Wise Installation Wizard
      0 fichier(s) 0 octets
      16 Rép(s) 28 338 606 080 octets libres
      Le volume dans le lecteur C s'appelle Système
      Le numéro de série du volume est 2CB0-114D

      Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

      05/03/2008 13:02 <REP> .
      05/03/2008 13:02 <REP> ..
      26/10/2007 12:19 <REP> 1036
      28/08/2007 23:55 973 168 MSONSEXT.DLL
      26/10/2006 19:12 40 256 MSOSV.DLL
      03/06/1999 11:09 122 937 MSOWS409.DLL
      07/03/2001 06:00 127 033 MSOWS40c.DLL
      4 fichier(s) 1 263 394 octets
      3 Rép(s) 28 338 606 080 octets libres




      c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\patch.exe
      c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkup.exe
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\checkupsvc.exe
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\Patch.exe
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TSC.EXE
      c:\Documents and Settings\denis\Mes documents\Téléchargement\CH-SkiChallenge08.exe
      c:\Documents and Settings\denis\Mes documents\Téléchargement\wrar370fr.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\aaw2007.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\sdsetup.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spybotsd152.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\spywareterminator_sftsetup.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\SUPERAntiSpyware.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Antispyware\trsetup.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\aswclnr.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\avgas-setup-7.5.1.43.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\combofix.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\catchme.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\diff.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\FilesInfoCmd.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\find2.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\Fport.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\grep.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\gzip.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\KProcCheck.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\LFiles.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\LISTDLLS.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\md5sums.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\pslist.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\sigcheck.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\streams.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\swreg.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\DiagHelp\tar.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis\hijackthis\HiJackThis.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\bricscad.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Bricscad\userprofilemanager.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup204.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\Outil de nettoyage\ccsetup205.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\install.exe
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMFLEX6.EXE
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMMEF6.EXE
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\RDMOSS6.EXE
      c:\Documents and Settings\denis\Mes documents\Z-Informatique\RDM6\ROSETTE.EXE
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
      c:\Documents and Settings\Administrateur\Local Settings\Application Data\Seven Zip\Formats\7z.dll
      c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
      c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
      c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\tmaseng.dll
      c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\PATCHW32.DLL
      c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\auhome\TmUpdate.dll
      c:\Documents and Settings\All Users\Application Data\Trend Micro\OE\oe_engine\01\tmaseng.dll
      c:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\mia.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
      c:\Documents and Settings\Default User\Local Settings\Application Data\Seven Zip\Formats\7z.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Seven Zip\Formats\7z.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\dllTSCLIBMT.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\mfc80u.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcp80.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\msvcr80.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_au.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ec.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ms.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_shm.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_ss.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_tsc.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\svc_vs.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\tm_pccchk.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\ui_ms.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\BPMNT.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ciussi32.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\dllTSCLIBMT.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchbld.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\patchw32.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\ssapi32.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\tm_tsc.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\TmUpdate.dll
      c:\Documents and Settings\denis\Local Settings\Application Data\Trend Micro\HCMS\checkup\fr\components\vsapi32.dll
      c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

      ****** Fin du rapport DiagHelp
      Veuillez svp envoyer le fichier C:\upload_moi_FAVRE.tar.gz a l'adresse http://upload.malekal.com


      ---------------------------------------------------------

      ---> Rapport SDFix:


      [b]SDFix: Version 1.153 /b

      Run by denis on 06/03/2008 at 14:28

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services /b:


      Restoring Windows Registry Values
      Restoring Windows Default Hosts File

      Rebooting


      [b]Checking Files /b:

      No Trojan Files Found






      Removing Temp Files

      [b]ADS Check /b:



      [b]Final Check /b:

      catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-06 14:31:43
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmxpflt]
      "CurrentPatternName"="C:\PROGRA~1\TRENDM~1\INTERN~1\tmblack.108"

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services /b:



      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

      [b]Remaining Files /b:



      [b]Files with Hidden Attributes /b:


      [b]Finished!/b


      ----------------------------------------

      Compte tenu des difficultés à héradiquer le problème, est ce qu'un formatage et une réinstallation complète ne serait pas envisageable?...


      A+
      0
  12. pinpin0174
     
    Bonjour,

    Comme convenu, j'ai fait le ménage sur le poste (dans C:\Program files)...
    J'ai ensuite comparé les processus...

    J'ai trouvé des choses suspectes? et/ou étranges... voici la liste de ce que j'ai désactivé:

    ---> Smax4.exe/tray ---> pas trouvé dans la liste du site...

    ---> JMInsIDE -- C:\Windows\JM\JMInsIDE.exe
    ---> JMRaidSetup -- C:\Windows\System 32\JMRaid Setup.exe boot
    -----------------> Qu'est ce que c'est?

    ---> vspdfprsrv -- C:_Program files\Visage\PDF printer\vspdfprsrv.exe--bacckground ---> dangereux? existe dans la liste, mais sans la terminaison --bacckground

    ---> reader_sl -- C:_Program files\Adobe\Reader 8.0\Reader_sl.exe ---> pas trouvé dans la liste du site... du moins pas avec cette racine...

    ---> msmsgs -- C:_Program files\Messenger\msmsgs.exe\background ---> dangereux? existe dans la liste, mais sans la terminaison \bacckground
    De plus, sur le site, l'extension correspondant à Windows Messenger est spécifié en majuscule (MSMSGS.exe), alors que l'extension spécifié en minuscule correspondrait à quelque chose laissé par un trojan SCLOG-AL...

    Je n'ai pas trouvé d'autre chose...

    Sinon, j'ai désactivé au démarrage tous les "inutiles"...

    Après tout cela, j'ai pris l'initiative de passer Ccleaner, en mode sans échec... seul mode ou il fonctionne normalement... et j'ai fait un scan avec AVG ----> résultat rien de trouvé...

    J'ai rappelé le support technique de Trend Micro - PC cillin, mais je suis guère avancé, car ils ne reçoivent pas les Emails que je leur envois... D'après eux, il se peut que ce soit du à un conflit avec les différents pare feu... le leur et celui de la live box... cela pourrait être aussi l'origine de mon problème... je reste sceptique...
    D'autre part, il me précise que leur antivirus n'est pas forcément compatible avec d'autre antispyware et outil de nettoyage comme Ccleaner... un conflit est possible...
    L'apparition de ce problème pourrait être dû à une mise à jour...
    Je reste très perplexe... nous avons 3 postes équipés du même logiciel de protection, avec les mêmes paramètres antivirus, pare feu, etc... et on utilise tous des application comme Spybot... et jusqu'à présent, je suis le seul à rencontrer ce problème...
    Ai je eu un technicien ou un commercial qui défend son "bout de gras"...
    J'ai tout de même désactivé leur pare feu, viré tous les antisparware, outil de nettoyage, etc... redémarré...
    J'ai réinstallé Bricscad V8... retenté ma chance... mais sans succès... je dirais même que le scratche a été encore plus rapide que d'habitude...

    Par contre, j'ai un autre problème... j'ai amené une nouvelle UC, pour pouvoir "travailler"... et impossible de démarrer... pas de signal à l'écran...
    J'ai vérifié les raccordements, tout semble normal...
    J'ai vérifié si les barrette mémoire étaient bien "enfichées", apparemment oui... (déclipsées, réenclenchées), sans amélioration... je pensais qu'elles avaient pu bouger pendant le transport...

    De quoi pourrait venir ce problème?... Une idée?...
    Je continues mes investigations... mais je commence à saturer... je crois que l'informatique ne m'aime pas...

    A bientot...
    0
  13. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    Bonjour, pinpin0174,

    je rentre juste,... Avant tout pas de découragements ...

    Impératif, n'avoir qu'un seul pare feu -->désactives celui de la live box + windows (si pas fait) car celui de trend micro est deja en service

    023- Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

    Tu as réduit tes logiciels de sécurité, c'est mieux, car trop peuvent creer un plantage du pc, tous ne cohabitent pas toujours ensemble
    CCleaner Spybot - Search & Destroy Spyware Terminor SUPERAntiSpyware The Cleaner Free ,Trojan Remover ,AVG Anti-Spyware 7.5,Ad-Aware 2007 -->ca fait , ou faisait beaucoup ..

    Lis ce Comparatif
    https://forum.malekal.com/viewtopic.php?f=45&t=8765

    Je ne cherche pas à influencer, libre à toi , si tu souhaites le tester
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    par contre spyware terminator, je ne veux pas froisser ceux qui l'apprécie, je l'ai tester, et bof bof, perso-->pas garder,

    -->bien sur conserve ccleaner qui comme tu le sais deja n'as pas lles memes fonctions et c'est un excellent utilitaire

    autre point tu as réinstallé Bricscad V8, or dans ton rapport Bricscad 7.1 est dans -->Liste des programmes installes
    j'ai pu lire que Bricscad V8 s'installe et fonctionne indépendamment des versions précédentes.

    -->http://www.bricscad.com/readme/fr_FR/Bcad/LisezMoi.htm

    peut etre un début d'explication...
    -->supprimes l'ancienne version -->Bricscad 7.1
    -->réessayes

    pour le formatage-->Il n'en n'est pas question pour le moment nous n'avons pas dit notre dernier mot, forcement une explication a tout ca ..

    a plus tard

    ps: je dois me réabsenter..
    --> dans la soirée..je vais étudier tout cela de plus prés
    0
    1. pinpin0174
       
      J'ai fait le test pour bricscad... désinstallation totale de V7 et V8...
      Réinstallation de la version V8...
      Lancement... et quelques secondes après... scratche...
      Par contre, j'ai remarqué qu'à chaque fois que ça scratche, j'ai une mise en quarantaine d'un élément considéré comme logiciel espion... taille 3Ko...
      Le cas est identique lorsque que j'essaye de lancer Vundofix... la taille du fichier est juste différente...

      N'y aurait il pas un conflit avec internet security suite à une mise à jour?...

      A+
      0
  14. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    Coucou pinpin0174

    précises moi l'élément mis en quarantaine...
    pourquoi utiliser vundofix? ... tu l'as deja utilisé, il n'a rien detecté-->faut le desinstaller , tu n'en as plus besoin

    --> beaucoup d'outils de desinfection, sont aux yeux de l'antivirus, ou pare feu considérés comme trojan, intrusions ou autres ..ce n'est pas le cas, ils rentrent tout simplement en conflit, et c'est pourquoi, il faut parfois desactivé l'antivirus, et /ou le pare feu souvent pour le télécharger, lancer le scan etc..

    Si pas encore fait desintalles

    -->vundofix
    -->VirtumundoBegone
    -->navilog
    -->clean zip
    -->sdfix
    -->diaghelp

    Ton pc a été victime d'une infection vundo dont je ne suis pas sur qu'elle soit éradiquée d'ailleurs

    -->j'aimerais que tu relances combofix

    1) Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus , Antispyware, etc..

    2) Redemarre en mode sans echec (manuellement , avec F8 ou F5)

    puis

    3) relance hijackthis

    coches ces lignes
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

    clic sur fix checked

    4) double-clic sur Combofix.exe.

    -->Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
    pendant la durée de cette étape,n'ouvre aucuns programmes
    - ->A la fin du scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche
    --> Un rapport s'ouvrira dans le bloc notes, (Combofix.txt),
    Il est sauvegardé dans C:\Combofix.txt)

    3)lance Ccleaner
    -->nettoyage+ erreur

    4) Redemarre windows

    réponds oui au message de windows si celui ci t'averti que tu as changer ta façon de demarrer
    tu coches pour ne plus avoir ce message sans cesse tu es a présent en mode selectif, et plus en mode normal

    -5)->Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    poste moi le rapport Combo+ hijackthis

    a plus puis bon courage

    ps; je poursuis le décortitage
    0
  15. pinpin0174
     
    Bonjour,

    J'ai fait toutes les manip et je fais suivre les rapports...

    Lors du rapport Hijackthis, je n'ai pas trouvé les lignes suivantes:
    04 - HKUS\S-1-5-19\..\Run: etc.....\CTFMON.EXE (User 'SERVICE LOCAL')
    04 - HKUS\S-1-5-19\..\RunOnce: etc.....\tscuinst.vbs (User 'SERVICE LOCAL')

    Est ce normal?...

    Pour le reste, pas de problème particulier dans l'exécution...

    Par contre, lorsque je me connecte au site commentcamarche.net, j'ai un message d'alerte de internet security, qui me dit que j'essaye d'accéder à un site dangereux...

    J'ai copié l'adresse ci dessous...

    https://ccm.metriweb.be/td/ccm/mw.cgi.php?page=/forum/affich-5303284-pb-infection-trojan-virus-autres&q=fr&c=0001204876295.984994.5&v=4.5.2&p=0&d=1204876383437&R=0.036157291020435744

    J'ai le même message si je passe par le poste de mon collègue....

    ---> rapport combo:

    ComboFix 08-03-06.4 - denis 2008-03-07 8:38:33.2 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1770 [GMT 1:00]
    Endroit: C:\Documents and Settings\denis\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-02-07 to 2008-03-07 ))))))))))))))))))))))))))))))))))))
    .

    2008-03-06 16:12 . 2008-03-06 16:12 <REP> d-------- C:\Program Files\Bricsys
    2008-03-06 16:06 . 2008-03-06 16:06 <REP> d-------- C:\Documents and Settings\denis\Application Data\InstallShield
    2008-03-06 09:47 . 2008-03-06 09:47 23 --a------ C:\WINDOWS\pccillin.ini
    2008-03-04 10:13 . 2008-03-04 10:13 <REP> d-------- C:\fsaua.data
    2008-03-04 09:36 . 2008-03-04 09:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2008-03-04 08:26 . 2008-03-04 08:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-03-03 16:12 . 2008-03-03 16:12 <REP> d-------- C:\WINDOWS\ERUNT
    2008-03-03 15:40 . 2008-03-03 15:40 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
    2008-02-25 07:47 . 2008-02-28 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2008-02-12 13:37 . 2008-02-12 13:37 <REP> d-------- C:\rdm6
    2008-02-11 11:32 . 2008-03-06 10:54 <REP> d-------- C:\Documents and Settings\denis\Application Data\SUPERAntiSpyware.com
    2008-02-11 11:32 . 2008-02-11 11:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-02-11 09:57 . 2008-03-06 10:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-11 09:45 . 2008-02-11 10:50 714 ---hs---- C:\WINDOWS\system32\nknwsqnj.ini
    2008-02-11 08:01 . 2008-03-03 14:32 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-02-07 13:35 . 2008-02-07 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-06 15:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-06 15:03 --------- d-----w C:\Program Files\Fichiers communs\BricsCad
    2008-03-06 09:54 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-03-06 08:41 --------- d-----w C:\Documents and Settings\denis\Application Data\StarOffice8
    2008-03-06 07:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
    2008-03-05 12:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-02-11 07:07 --------- d-----w C:\Program Files\Trend Micro
    2008-02-06 10:01 --------- d-----w C:\Program Files\SPIT_Expert
    2008-01-31 17:03 --------- d-----w C:\Documents and Settings\denis\Application Data\Azureus
    2008-01-31 12:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2007-12-07 01:42 825,344 ----a-w C:\WINDOWS\system32\wininet.dll
    2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
    2007-10-26 10:04 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat
    2007-10-31 14:01 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007103120071101\index.dat
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2007-08-02 13:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]
    "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
    "pccguide.exe"="C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe" [2006-09-29 07:24 3121152]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 03:18 437160]

    [HKLM\~\startupfolder\C:^Documents and Settings^denis^Menu Démarrer^Programmes^Démarrage^StarOffice 8.lnk]
    path=C:\Documents and Settings\denis\Menu Démarrer\Programmes\Démarrage\StarOffice 8.lnk
    backup=C:\WINDOWS\pss\StarOffice 8.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
    -r------- 2006-10-30 13:44 1953792 C:\WINDOWS\system32\JMRaidSetup.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]
    -r------- 2006-10-30 13:44 36864 C:\WINDOWS\JM\JMInsIDE.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox PowerDesk 8]
    --a------ 2005-08-10 11:43 102400 C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2007-09-26 11:22 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vspdfprsrv.exe]
    --a------ 2004-07-14 22:33 905216 C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

    S2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;"C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [2008-01-16 09:46]
    S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
    S3 MTXPARH;MTXPARH;C:\WINDOWS\system32\DRIVERS\MTXPARHM.sys [2005-08-10 12:54]
    S3 SQLWriter;Enregistreur VSS SQL Server;"c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddb41936-83b7-11dc-9614-806d6172696f}]
    \Shell\AutoRun\command - D:\Bin\Assetup.exe

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-07 08:39:45
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-03-07 8:40:13
    .
    2008-03-06 17:35:55 --- E O F ---

    ----------------------------------------------------

    ---> rapport Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:33:19, on 07/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20733)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\denis\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ldlc.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
    O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
    O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
    O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
    0
  16. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    HI !

    Il doit etre régler en "élevé" ton antivirus.Trend Micro .. parce que CCM-->un site dangereux...-->surement pas , je te rassure ! ;)

    -->précises moi la version que tu as de trend micro

    poste moi un nouveau rapport hijack en mode normal, stp, car celui ci est en "mode sans echec"

    A+++

    ps: as tu qu'un seul pare feu en service a l'heure qu'il est?
    0
  17. pinpin0174
     
    rebonjour,

    J'ai fait le tour des 3 PC équipés de trend micro internet security et le message d'alerte s'affiche sur les 3, lorsque je me connecte sur le site... à priori, ça ne le fait qu'avec celui ci... avec "l'équipe", pas de problème... ce doit être un antivirus qui aime les infos sportives, mais pas les sites qui lui font concurrence... bien que ce ne soit pas de la concurrence... et que si l'on attend la réaction de leurs services, on est pas pret d'être débloqué... A leur décharge, ils doivent être extrèmement chargé...

    Pour revenir au message, il me paraissait anormal et dans ma situation, je préfère en faire part... on ne sait pas trop de quoi est capable le bougre qui se cache dans mon UC...

    Concernant les fichiers mis en quarantaine par internet security, je n'arrive pas à avoir de détail... il doit surement y avoir une astuce pour le trouver, mais je ne sais pas comment... en tous les cas, ce n'est pas précisé à l'endroit ou je peux voir ces "alerte" et il ne me laisse que la possibilité de supprimer ou de restaurer...

    J'ai refait un rapport Hijackthis en mode normal:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:41:06, on 07/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20733)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
    C:\Program Files\UPHClean\uphclean.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\denis\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ldlc.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
    O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
    O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
    O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
    0
  18. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    re,

    c'est fou ça quand meme ces messages d'alertes a l'encontre de CCM qu'il est vilain ce trend micro
    -->ignore cette alerte, ca va de soi.. non mais ;)

    dans ton dernier rapport je ne vois plus de pare feu ;-/

    celui de trend n'en plus en service, il t'en faut un absolument

    -->O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfwhttp://www.malekal.com/tutorial_eScan_antivirus_toolkit.html.exe

    -->ou tu le reactives, ou tu mets celui de ta live box, mais il faut un
    -->sauf celui de windows qui ne fait que de la figuration dans ton pc et dois rester désactivé :D

    -->Ne pas avoir de détails sur ces fichiers en quarantaine est ennuyeux

    voila ce que tu peux faire

    Télécharge e scan (téléchargement+ tuto ci dessous)
    http://www.malekal.com/tutorial_eScan_antivirus_toolkit.php

    ***enregistre la page dans un document texte pour y avoir accés en mode sans echec***

    1) Affiche Dossiers Cachés et Demasque les Extansions
    Démarrer>poste de travail>outil (en haut)>option dossier>affichage

    Coche> "afficher les dossiers cachés"
    Décoche> "masquer les extansions des fichiers dont le type est connu
    Répondre oui au message de windows
    Décoche> "masquer les fichiers protégés du système (recommandé)
    Répondre oui au message de windows
    Puis> appliquer >ok

    2)redemarre en mode sans echec

    3)-->lance un scan complet avec ton antivirus
    -->applique les actions recommendées s'il y a cette option (je ne connais pas ton antivirus)

    4)Avec eScan Antivirus ToolKit

    Double-clique sur le fichier mawav.exe qui se trouve sur le bureau.
    Clique sur le bouton--> Décompresser.
    Ceci va décompresser Kaspersky dans le dossier--> C:\Kaspersky.
    eScan Toolkit s'ouvre
    Coche ces options
    -->Drive
    -->Scan all file
    puis sur -->Scan clean pour lancer le nettoyage.

    A la fin du scan..
    sélectionne--> tous les éléments dans la partie de fenêtre Virus Log Information
    -->Fais un clic droit puis copier.
    -->Vas sur le bloc-note puis Menu Edition / Coller

    tous les éléments qui sont dans--> Virus log Information vont etre copier /coller --> dans le bloc-note
    Enregistre le fichier : Menu Fichier / Enregistrer-sous
    Nomme le eScan.log

    5) Recaches , remasques les dossiers et extantions

    6) redemarre

    7) poste moi le rapport trend micro (s'il en génère un ?) + celui de e scan

    allez bon courage

    A+++
    0
  19. pinpin0174
     
    Rebonjour,

    Enfin une bonne nouvelle...
    Il semble que le problème rencontré avec mon logiciel de dessin "Bricscad V8" soit dû à mon système de protection Trend Micro Internet Security...
    En effet en farfouillant, j'ai mis la main sur les journaux de l'antivirus... et je me suis apperçu que "bricscad.exe" était mis en quarantaine... car considéré comme logiciel espion...
    Idem pour Ccleaner, Vundofix, etc...
    Je pense que le problème est apparue à la suite d'une mise à jour de l'antirus... 3 à 4 mise à jour/jour...
    Trend Micro m'envoie la procédure de désinstallation du logiciel antivirus et la version 2008 du logiciel... Espérons que les "bugs" auront été réparés...

    Concernant la présence d'indésirable, elle est confirmée par le rapport de l'antivirus... il détecte effectivement quelque chose, mais ne le supprime pas et ne le met pas en quarataine...
    Je joint les derniers rapports ci dessous...

    ----> "Journaux de scan antispyware","2008/03/07","FAVRE"
    "Heure","Zone","Nom de l'élément","Ressource détectée","Cible","Action"
    "09:13","Mauvais cookies de navigateur Internet","Cookie_BlueStreak","Internet Explorer Cache","bluestreak.com","Quarantaine"
    "11:09","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "11:49","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "12:50","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "14:33","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "15:23","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "15:48","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "16:00","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "16:03","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "16:19","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Détecté"
    "16:19","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "16:19","Liens","","C:\Documents and Settings\All Users\Bureau","Bricscad.lnk","Quarantaine"
    "16:19","Liens","","C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Bricsys\Bricscad","Bricscad.lnk","Quarantaine"
    "16:19","Liens","","C:\Documents and Settings\All Users\Menu Démarrer\Programmes","Bricscad.lnk","Quarantaine"

    ----> "Journaux de scan antispyware","2008/03/06","FAVRE"
    "Heure","Zone","Nom de l'élément","Ressource détectée","Cible","Action"
    "08:16","ActiveX et autres logiciels téléchargés","","C:\Program Files\Yahoo!\Common\yinsthelper.dll,C:\Program Files\Yahoo!\Common\yinst.inf","YInstStarter Class","Détecté"
    "08:22","Mémoire de votre ordinateur","unins000.exe","C:\Program Files\PDFCreator","unins000.exe","Détecté"
    "08:25","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "08:26","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "08:26","ActiveX et autres logiciels téléchargés","","C:\Program Files\Yahoo!\Common\yinsthelper.dll,C:\Program Files\Yahoo!\Common\yinst.inf","","Détecté"
    "08:26","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "09:36","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "09:46","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "10:46","Mémoire de votre ordinateur","unins000.exe","C:\Program Files\Spyware Terminator","unins000.exe","Détecté"
    "10:55","Mémoire de votre ordinateur","Au_.exe","C:\DOCUME~1\denis\LOCALS~1\Temp\~nsu.tmp","Au_.exe","Détecté"
    "11:02","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "12:31","Mauvais cookies de navigateur Internet","Cookie_Advertising","Internet Explorer Cache","advertising.com","Détecté"
    "12:35","Mauvais cookies de navigateur Internet","Cookie_BlueStreak","Internet Explorer Cache","bluestreak.com","Quarantaine"
    "12:52","Mauvais cookies de navigateur Internet","Cookie_Advertising","Internet Explorer Cache","advertising.com","Quarantaine"
    "12:52","Mauvais cookies de navigateur Internet","Cookie_BlueStreak","Internet Explorer Cache","bluestreak.com","Quarantaine"
    "12:54","Logiciel de démarrage de votre ordinateur","","HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce","wextract_cleanup0","Détecté"
    "12:57","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "13:01","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "13:35","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "14:40","Mémoire de votre ordinateur","vundofix.exe","C:\Documents and Settings\denis\Mes documents\Z-Informatique\AntiSyware+hijackthis","vundofix.exe","Quarantaine"
    "14:51","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "15:20","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "16:13","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "16:43","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "18:29","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"

    ----> "Journaux de scan antispyware","2008/03/05","FAVRE"
    "Heure","Zone","Nom de l'élément","Ressource détectée","Cible","Action"
    "07:41","Système de fichiers","Generic_Grayware","C:\Program Files\Navilog1\","is-5K1TL.tmp","Détecté"
    "08:03","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "08:04","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "08:05","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "10:08","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "10:09","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "10:28","Mémoire de votre ordinateur","bricscad.exe","C:\Program Files\Bricsys\Bricscad","bricscad.exe","Quarantaine"
    "10:49","Système de fichiers","Generic_Grayware","C:\Program Files\Navilog1\","reboot.exe","Détecté"
    "10:50","Mémoire de votre ordinateur","unins000.exe","C:\Program Files\Navilog1","unins000.exe","Détecté"
    "11:47","Mémoire de votre ordinateur","CCleaner.exe","C:\Program Files\CCleaner","CCleaner.exe","Quarantaine"
    "13:48","Mémoire de votre ordinateur","spywareterminator_sftsetup.tmp","C:\DOCUME~1\denis\LOCALS~1\Temp\is-TH9OU.tmp","spywareterminator_sftsetup.tmp","Détecté"
    "13:49","Mémoire de votre ordinateur","CToolbar.exe","C:\PROGRA~1\Crawler\Toolbar","CToolbar.exe","Quarantaine"
    "13:57","Mémoire de votre ordinateur","spywareterminator_sftsetup.tmp","C:\DOCUME~1\denis\LOCALS~1\Temp\is-2GQGP.tmp","spywareterminator_sftsetup.tmp","Détecté"
    "13:58","Services Windows","","","Spyware Terminator Driver 2","Détecté"
    "13:58","Logiciel de démarrage de votre ordinateur","","HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run","SpywareTerminator","Détecté"
    "13:59","Mémoire de votre ordinateur","SpywareTerminatorShield.exe","C:\Program Files\Spyware Terminator","SpywareTerminatorShield.exe","Détecté"
    "14:29","Système de fichiers","Generic_Grayware","C:\System Volume Information\_restore{99D5A108-B1B5-48D8-BFB6-179963CC35CF}\RP178\","A0036896.exe","Détecté"
    "16:05","Mémoire de votre ordinateur","sigcheck.exe","G:\DiagHelp","sigcheck.exe","Détecté"
    "16:05","Mémoire de votre ordinateur","grep.exe","G:\DiagHelp","grep.exe","Détecté"
    "16:07","Mémoire de votre ordinateur","catchme.exe","G:\DiagHelp","catchme.exe","Détecté"

    Voila les rapports des 3 derniers jours, j'avais essayé d'en mettre plus, mais les autres étaient beaucoup trop longs... et ce n'est pas passé...

    Je fait la manip. "Kaspersky" et j'envoie le rapport de e scan...

    A+
    0
  20. lacoxinelle-douzecent Messages postés 830 Statut Membre 46
     
    Re, ...on commence a y voir plus clair, youpi !

    ->DiagHelp", navilog, vundifix..yahoo, crawler. etc....ne devraient pas etre dans ton rapport, car je t'avais demandé de supprimer tout ca.. .bon c'est pas grave mais fais le..
    cela dit, ta restauration système est infectée, on va s'en occuper..sans tarder

    j'attends ton rapport e scan, peut etre d'autres indices ;)

    @+
    0
  21. pinpin0174
     
    ça y est, je suis de retour...

    eScan n'a rien détecté... rien dans la fenêtre Virus Log Information...

    J'ai quand même copié la fin du scan...

    Fri Mar 07 19:36:33 2008 => ***** Checking for specific ITW Viruses *****
    Fri Mar 07 19:36:33 2008 => Checking for Welchia Virus...
    Fri Mar 07 19:36:33 2008 => Checking for LovGate Virus...
    Fri Mar 07 19:36:33 2008 => Checking for CodeRed Virus...
    Fri Mar 07 19:36:33 2008 => Checking for OpaServ Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Sobig.e Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Winupie Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Swen Virus...
    Fri Mar 07 19:36:33 2008 => Checking for JS.Fortnight Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Novarg Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Pagabot Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Parite.b Virus...
    Fri Mar 07 19:36:33 2008 => Checking for Parite.a Virus...

    Fri Mar 07 19:36:33 2008 => ***** Scanning complete. *****
    Fri Mar 07 19:36:33 2008 => Total Number of Files Scanned: 45196
    Fri Mar 07 19:36:33 2008 => Total Number of Virus(es) Found: 0
    Fri Mar 07 19:36:33 2008 => Total Number of Disinfected Files: 0
    Fri Mar 07 19:36:33 2008 => Total Number of Files Renamed: 0
    Fri Mar 07 19:36:33 2008 => Total Number of Deleted Files: 0
    Fri Mar 07 19:36:33 2008 => Total Number of Errors: 3
    Fri Mar 07 19:36:34 2008 => Time Elapsed: 00:45:12
    Fri Mar 07 19:36:34 2008 => Virus Database Date: 2008/01/11
    Fri Mar 07 19:36:34 2008 => Virus Database Count: 507730

    Fri Mar 07 19:36:34 2008 => Scan Completed.

    Voila, c'est tout...

    Concernant Diaghelp, navilog, vundofix, etc..., j'ai normalement tout viré... ça apparait peut être dans le rapport d'hier, ou d'avant hier... j'ai mis les rapports des 3 derniers jour...

    En tous les cas, je suis content d'entendre que l'on y voit plus clair... en tous les cas, moi je fatigue...
    Je vais donc faire un break... pour le week end... obligation parental oblige...
    Je jetterais un coup d'oeil sur le site, mais je n'aurais pas le PC infesté à dispo... donc je ne pourrais rien faire avant lundi...

    Bonne soirée et bon week end...

    Et encore merci pour l'aide précieuse et surtout le temps passé à dépanner "un inconnu"...

    @+
    0
  • 1
  • 2