Sujet Précédent Sujet Suivant

Encore une victime de virtumonde

crabos Messages postés 14 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour, a tous..... j'ai eu la désagréable surprise de trouver ce trojan dans mon analyse quasi quotidienne de mon pc avec spybot..... depuis hier soir je suis sur le soucis.

Ma femme qui cherchait un logiciel de recette de cuisine m'a avouée avoir télécharger et installer un "truc" bizarre.....
M'enfin bref j'ai donc tenter certains logiciels comme :
- vundofix (rien trouver)
- adaware (rien trouver)
- spydoctor (trouve bien le soucis, mais visiblement il ne fonctionne pas plus que cela)
- enfin ce forum ^^ j'ai donc effectuer un scan avec Hijackthis dont voici le log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:41, on 27/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\palmOne\HOTSYNC.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {011c3d9d-9c5c-211b-5fc4-e66ffcb1e4fb} - {bf4e1bcf-f66e-4cf5-b112-c5c9d9d3c110} - C:\WINDOWS\system32\qcfijhtv.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [704a54ff] rundll32.exe "C:\WINDOWS\system32\lwvlajvt.dll",b
O4 - HKLM\..\Run: [BM73796763] Rundll32.exe "C:\WINDOWS\system32\cncnxuyf.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8409] command /c del "C:\WINDOWS\system32\fccCtQGx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2336] cmd /c del "C:\WINDOWS\system32\fccCtQGx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8073] command /c del "C:\WINDOWS\system32\fccCtQGx.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3767] cmd /c del "C:\WINDOWS\system32\fccCtQGx.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

72 réponses

Précédent
Réponse 41 / 72
wassou
 
Avec un rapport HijackThis dans la foulée :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:12:26, on 02/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\wupdmger.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\CYRIL\Mes documents\Mail\0104\OTMoveIt2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {432CAE3B-690F-4C3B-BD97-070EBDA210D5} - (no file)
O2 - BHO: (no name) - {4BE28084-04EB-49A8-81EE-02CC2257C926} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: {8bf75874-3900-39bb-2014-7366538a0fc5} - {5cf0a835-6637-4102-bb93-009347857fb8} - (no file)
O2 - BHO: (no name) - {6C85A234-3AB9-44CD-8D75-FAB6748D6614} - C:\WINDOWS\system32\mlJaxYsr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - (no file)
O2 - BHO: (no name) - {C65185B1-D52B-44A9-861F-8201B50D1F37} - (no file)
O2 - BHO: (no name) - {EA84AAFD-E62E-4908-914A-C1A2248D42E6} - C:\WINDOWS\system32\awtsTjhh.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WDAutomaticUpdate] /EXECMAJ
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: wvUmjGXN - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
0
Réponse 42 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge DiagHelp.zip sur ton bureau(Merci Malekal)
http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd(le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.

* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.
0
Réponse 43 / 72
wassou
 
Merci pour la suite.
Je suis au boulot donc je reprendrais la manip ce soir en rentrant vers 20h00.

J'espere te retrouver si tu es tjs dispo.

J'espere que mon calvaire touche a sa fin car je n'aurais jamais pensé avoir a faire toute cette baterie de logiciels a executer. En tout cas, je remercie ta demarche d'aider ceux en difficulté face a ces genres d'attaques.

Wassou
0
Réponse 44 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
diaghelp devrait nous donner les derniers fichiers infectés, s'il en reste
à ce soir, peut être, j'ai une réunion professionnelle et je ne sais pas vers quelle heure elle se terminera..
0
wassou
 
Ok, bonjour payber.

je rentre du taf, et je me suis attaqué a DialHelp.
J'ai entrer le choix 1.
Et je suis en train d'envoyer le fichier c:\upload_moi_xxx.zip

Je mets le rapport ci dessous :

DiagHelp version v1.4 - http://www.malekal.com
excute le 02/06/2008 à 19:37:30,95


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->02/06/2008 19:37:29
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->02/06/2008 19:36:30
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->02/06/2008 19:35:41
C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->02/06/2008 19:34:31
C:\WINDOWS\prefetch\WUPDMGER.EXE-0FB48124.pf -->02/06/2008 19:29:54
C:\WINDOWS\prefetch\HPZIPM12.EXE-145E7369.pf -->02/06/2008 18:59:29
C:\WINDOWS\prefetch\REGEDIT.EXE-1B606482.pf -->02/06/2008 17:59:34
C:\WINDOWS\prefetch\DFRGNTFS.EXE-269967DF.pf -->02/06/2008 17:59:25
C:\WINDOWS\prefetch\DEFRAG.EXE-273F131E.pf -->02/06/2008 17:59:25
C:\WINDOWS\prefetch\Layout.ini -->02/06/2008 17:59:15

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->30/05/2008 01:06:40
C:\WINDOWS\System32\drivers\mbam.sys -->30/05/2008 01:06:36
C:\WINDOWS\System32\drivers\klif.cab -->08/05/2008 23:39:50
C:\WINDOWS\System32\drivers\epfwtdi.sys -->13/03/2008 16:52:16
C:\WINDOWS\System32\drivers\epfwndis.sys -->13/03/2008 16:52:16
C:\WINDOWS\System32\drivers\epfw.sys -->13/03/2008 16:52:12
C:\WINDOWS\System32\drivers\easdrv.sys -->13/03/2008 16:44:36

C:\WINDOWS\System32\wpa.dbl -->02/06/2008 08:32:28
C:\WINDOWS\System32\jlimmpog.ini -->02/06/2008 01:23:22
C:\WINDOWS\System32\wmoptimizer.dll -->01/06/2008 16:39:48
C:\WINDOWS\System32\rsYxaJlm.ini -->30/05/2008 20:47:40
C:\WINDOWS\System32\rsYxaJlm.ini2 -->30/05/2008 20:44:43
C:\WINDOWS\System32\cxqkitwl.ini -->29/05/2008 21:20:14
C:\WINDOWS\System32\clkcnt.txt -->29/05/2008 20:47:36
C:\WINDOWS\System32\hhjTstwa.ini -->29/05/2008 20:40:31
C:\WINDOWS\System32\hhjTstwa.ini2 -->29/05/2008 20:40:02
C:\WINDOWS\System32\enhfjcwd.dll -->28/05/2008 22:00:00
C:\WINDOWS\System32\ovqxarwp.ini -->28/05/2008 00:21:02
C:\WINDOWS\System32\mapisvc.inf -->27/05/2008 23:10:25
C:\WINDOWS\System32\pwraxqvo.dll -->27/05/2008 22:03:58
C:\WINDOWS\System32\User.ini -->10/05/2008 11:53:47
C:\WINDOWS\System32\MRT.exe -->09/05/2008 23:35:04
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 19:13:00
C:\WINDOWS\System32\perfh00C.dat -->01/04/2008 20:25:49
C:\WINDOWS\System32\perfh009.dat -->01/04/2008 20:25:49
C:\WINDOWS\System32\perfc00C.dat -->01/04/2008 20:25:49
C:\WINDOWS\System32\PerfStringBackup.INI -->01/04/2008 20:25:48
C:\WINDOWS\System32\perfc009.dat -->01/04/2008 20:25:48
C:\WINDOWS\System32\mswstr10.dll -->25/03/2008 06:51:09
C:\WINDOWS\System32\msjint40.dll -->25/03/2008 06:51:08
C:\WINDOWS\System32\msxbde40.dll -->25/03/2008 06:50:58
C:\WINDOWS\System32\mswdat10.dll -->25/03/2008 06:50:57

C:\WINDOWS\0.log -->02/06/2008 08:31:59
C:\WINDOWS\wiaservc.log -->02/06/2008 08:31:34
C:\WINDOWS\WindowsUpdate.log -->02/06/2008 08:31:33
C:\WINDOWS\wiadebug.log -->02/06/2008 08:31:31
C:\WINDOWS\bootstat.dat -->02/06/2008 08:30:57
C:\WINDOWS\ntbtlog.txt -->02/06/2008 08:07:31
C:\WINDOWS\SchedLgU.Txt -->02/06/2008 08:03:15
C:\WINDOWS\setupapi.log -->01/06/2008 17:38:56
C:\WINDOWS\BM27a3259c.xml -->01/06/2008 11:52:32
C:\WINDOWS\BM27a3259c.txt -->01/06/2008 11:18:32
C:\WINDOWS\pskt.ini -->31/05/2008 14:15:13
C:\WINDOWS\wininit.ini -->30/05/2008 22:23:10
C:\WINDOWS\Marsu-Fix Uninstaller.exe -->28/05/2008 00:31:07
C:\WINDOWS\NeroDigital.ini -->12/05/2008 15:17:43
C:\WINDOWS\ModemLog_Conexant Data Fax Modem with SmartCP.txt -->25/04/2008 21:49:21

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1056
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x63000000 0x13000 7.13.0000.0001 C:\WINDOWS\system32\SynTPFcs.dll
0x60300000 0x7000 1.00.0000.0002 C:\Program Files\Yahoo!\Messenger\idle.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Yahoo!\Messenger\MSVCR71.dll
0x01a30000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x43ff0000 0xa000 7.00.6000.16640 C:\WINDOWS\system32\jsproxy.dll
0x10000000 0x36000 7.05.0000.0001 C:\WINDOWS\system32\WDShell.dll
0x00ce0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x00d10000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x22000000 0x2e000 3.00.0650.0000 C:\Program Files\ESET\ESET Smart Security\shellExt.dll
0x01e90000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x01fe0000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x024d0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x1c000000 0x5000 C:\WINDOWS\dropcpyr.dll
0x32520000 0x12000 10.00.2609.0000 C:\Program Files\Microsoft Office\Office10\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1284
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x10000 6.14.0010.4113 C:\WINDOWS\system32\Ati2evxx.dll
0x016f0000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\WINDOWS\temp


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\WINDOWS\system32

05/08/2004 10:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 4 094 681 088 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\WINDOWS\Downloaded Program Files

01/06/2008 17:38 <REP> .
01/06/2008 17:38 <REP> ..
24/03/2004 04:19 203 568 arclib.dll
16/03/2006 16:58 231 072 avsniff.dll
16/03/2006 16:56 878 avsniff.inf
17/11/2005 15:03 198 304 avsniffdlgs.dll
16/03/2006 16:52 537 704 AXXPEE.dll
16/03/2006 16:56 241 CabSA.inf
06/04/2006 01:00 2 390 catalog.dat
17/08/2004 11:16 65 desktop.ini
25/07/2002 18:13 24 576 dwusplay.dll
25/07/2002 18:13 196 608 dwusplay.exe
06/04/2006 01:00 6 899 ecbootil.vxd
17/11/2005 14:56 42 112 ecmldr32.dll
06/04/2006 01:00 288 424 ecmsvr32.dll
20/11/2007 17:04 1 523 536 FP_AX_CAB_INSTALLER.exe
27/07/2004 16:48 323 584 isusweb.dll
08/08/2006 11:45 576 kavwebscan.inf
03/11/2005 21:24 495 LegitCheckControl.inf
26/05/2005 05:19 293 muweb.inf
17/11/2005 14:57 6 850 navapi.vxd
17/11/2005 14:57 201 896 navapi32.dll
06/04/2006 01:00 124 584 naveng32.dll
06/04/2006 01:00 837 288 navex32a.dll
11/02/2008 09:39 1 864 OnlineScanner.inf
29/06/2005 19:17 227 opuc.inf
16/03/2006 16:58 161 480 rufsi.dll
06/04/2006 01:00 97 424 scrauth.dat
20/11/2007 16:50 247 swflash.inf
06/04/2006 01:00 8 145 symaveng.cat
06/04/2006 01:00 901 symaveng.inf
06/04/2006 01:00 45 808 tcdefs.dat
06/04/2006 01:00 1 005 804 tcscan7.dat
06/04/2006 01:00 282 402 tcscan8.dat
06/04/2006 01:00 557 899 tcscan9.dat
06/04/2006 01:00 453 tinf.dat
06/04/2006 01:00 148 tinfidx.dat
06/04/2006 01:00 1 957 tinfl.dat
06/04/2006 01:00 53 101 tscan1.dat
06/04/2006 01:00 1 237 tscan1hd.dat
06/04/2006 01:00 5 516 v.grd
06/04/2006 01:00 2 256 v.sig
16/12/2005 03:09 1 642 778 vet.da1
08/06/2004 04:06 2 575 174 vet.dat
28/04/2005 10:21 745 543 vete.dll
06/04/2006 01:00 106 244 virscan.inf
06/04/2006 01:00 947 813 virscan1.dat
06/04/2006 01:00 561 178 virscan2.dat
06/04/2006 01:00 145 640 virscan3.dat
06/04/2006 01:00 320 086 virscan4.dat
06/04/2006 01:00 2 275 365 virscan5.dat
06/04/2006 01:00 388 320 virscan6.dat
06/04/2006 01:00 3 505 078 virscan7.dat
06/04/2006 01:00 1 517 147 virscan8.dat
06/04/2006 01:00 3 146 638 virscan9.dat
06/04/2006 01:00 32 virscant.dat
09/04/2006 07:48 2 072 vscanmsx.dat
25/03/2004 11:10 180 282 webscan.dll
11/03/2004 13:41 477 webscan.inf
06/04/2006 01:00 224 zdone.dat
58 fichier(s) 25 038 903 octets

Total des fichiers listés :
58 fichier(s) 25 038 903 octets
2 Rép(s) 4 094 672 896 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\AVPersonal\\AVWIN.EXE"="C:\\Program Files\\AVPersonal\\AVWIN.EXE:*:Enabled:AntiVir"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Disabled:AOL France"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\BitComet_0.59\\BitComet.exe"="C:\\Program Files\\BitComet_0.59\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[System]
"dontdisplaylastusername"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-02 19:38:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
252 - aawservice.exe
308 - alg.exe
400 - hpqste08.exe
504 - ati2evxx.exe
620 - spoolsv.exe
840 - ekrn.exe
1056 - explorer.exe
1068 - ctfmon.exe
1160 - svchost.exe
1256 - csrss.exe
1284 - winlogon.exe
1332 - services.exe
1344 - lsass.exe
1504 - ati2evxx.exe
1548 - svchost.exe
1640 - svchost.exe
1684 - svchost.exe
1820 - svchost.exe
1896 - svchost.exe
2040 - svchost.exe
2192 - cmd.exe
2248 - TeaTimer.exe
2268 - googletalk.exe
2756 - PcSync2.exe
2792 - wcescomm.exe
2800 - msmsgs.exe
2932 - MPAPI3s.exe
2980 - hpqtra08.exe
3172 - atiptaxx.exe
3332 - SynTPLpr.exe
3356 - SynTPEnh.exe
3364 - hpwuSchd2.exe
3396 - egui.exe
3532 - HP Wireless Ass
3540 - issch.exe
3564 - DataLayer.exe
3604 - wmiprvse.exe
3652 - firefox.exe
3668 - LaunchApplicati
3676 - eabservr.exe
3772 - YahooMessenger.
3832 - SERVIC~1.EXE
4012 - wupdmger.exe
4068 - hpqwmi.exe

Total number of processes = 45
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
F7B50000 - \WINDOWS\system32\KDCOM.DLL
F7A60000 - \WINDOWS\system32\BOOTVID.dll
F7528000 - Vax347b.sys
F74F9000 - ACPI.sys
F7B52000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F74E8000 - pci.sys
F7650000 - isapnp.sys
F7660000 - ohci1394.sys
F7670000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F74D6000 - sfsync04.sys
F7A64000 - compbatt.sys
F7A68000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F7C18000 - pciide.sys
F78D0000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7B54000 - intelide.sys
F7B56000 - viaide.sys
F7B58000 - aliide.sys
F74B8000 - pcmcia.sys
F7680000 - MountMgr.sys
F7499000 - ftdisk.sys
F7A6C000 - ACPIEC.sys
F7C19000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F78D8000 - PartMgr.sys
F78E0000 - sfsync02.sys
F7690000 - VolSnap.sys
F7481000 -
F7B5A000 - Vax347s.sys
F7469000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
F76A0000 - disk.sys
F76B0000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7449000 - fltMgr.sys
F78E8000 - PxHelp20.sys
F7432000 - KSecDD.sys
F73A5000 - Ntfs.sys
F7378000 - NDIS.sys
F7367000 - serial.sys
F78F0000 - sfhlp02.sys
F7355000 - sfdrv01.sys
F733A000 - Mup.sys
F76D0000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F78A0000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F6DCF000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
F6DBB000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F79B0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F6D98000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F79B8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F6D71000 - \SystemRoot\system32\drivers\tifm21.sys
F6D60000 - \SystemRoot\system32\DRIVERS\sdbus.sys
F6D4D000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys
F6CF2000 - \SystemRoot\system32\DRIVERS\bcmwl5.sys
F6CAD000 - \SystemRoot\system32\drivers\camchal.sys
F6C65000 - \SystemRoot\system32\drivers\camcaud.sys
F6C41000 - \SystemRoot\system32\drivers\portcls.sys
F78B0000 - \SystemRoot\system32\drivers\drmk.sys
F6C1E000 - \SystemRoot\system32\drivers\ks.sys
F6BEB000 - \SystemRoot\system32\DRIVERS\HSFHWICH.sys
F6AED000 - \SystemRoot\system32\DRIVERS\HSF_DP.sys
F6A41000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
F79C0000 - \SystemRoot\System32\Drivers\Modem.SYS
F78C0000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F79C8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F6A12000 - \SystemRoot\system32\DRIVERS\SynTP.sys
F7B70000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F79D0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F76E0000 - \SystemRoot\system32\DRIVERS\imapi.sys
F76F0000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F7700000 - \SystemRoot\system32\DRIVERS\redbook.sys
F79D8000 - \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys
F730A000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F7306000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
F7710000 - \SystemRoot\system32\DRIVERS\Epfwndis.sys
F7CBC000 - \SystemRoot\system32\DRIVERS\audstub.sys
F7B72000 - \SystemRoot\System32\Drivers\RootMdm.sys
F7720000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F72FE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F69FB000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F7730000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7740000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F79E0000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F69EA000 - \SystemRoot\system32\DRIVERS\psched.sys
F7750000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F79E8000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F79F0000 - \SystemRoot\system32\DRIVERS\raspti.sys
F7760000 - \SystemRoot\system32\DRIVERS\termdd.sys
F7B74000 - \SystemRoot\system32\DRIVERS\swenum.sys
F6227000 - \SystemRoot\system32\DRIVERS\update.sys
F72DD000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7770000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F77A0000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7B7E000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7D51000 - \SystemRoot\System32\Drivers\Null.SYS
F7B80000 - \SystemRoot\System32\Drivers\Beep.SYS
F7A00000 - \SystemRoot\System32\drivers\vga.sys
F7B82000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7B84000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7A08000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7A10000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7B18000 - \SystemRoot\system32\DRIVERS\rasacd.sys
EE16A000 - \SystemRoot\system32\DRIVERS\ipsec.sys
EE112000 - \SystemRoot\system32\DRIVERS\tcpip.sys
EE100000 - \SystemRoot\system32\DRIVERS\epfwtdi.sys
EE0DF000 - \SystemRoot\system32\DRIVERS\ipnat.sys
EE0B7000 - \SystemRoot\system32\DRIVERS\netbt.sys
EE095000 - \SystemRoot\System32\drivers\afd.sys
F77D0000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F77E0000 - \SystemRoot\system32\DRIVERS\netbios.sys
EE06A000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F7D73000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS
EDFFB000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F77F0000 - \SystemRoot\system32\DRIVERS\arp1394.sys
F7800000 - \SystemRoot\System32\Drivers\Fips.SYS
F7810000 - \SystemRoot\system32\DRIVERS\easdrv.sys
F7B86000 - \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
F7840000 - \SystemRoot\System32\Drivers\Cdfs.SYS
EDF09000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7B96000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7B40000 - \SystemRoot\System32\drivers\Dxapi.sys
F7A58000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7CE9000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\ati2dvag.dll
BFA10000 - \SystemRoot\System32\ati2cqag.dll
BFA40000 - \SystemRoot\System32\atikvmag.dll
BFA71000 - \SystemRoot\System32\ati3duag.dll
BFC92000 - \SystemRoot\System32\ativvaxx.dll
B8EAC000 - \SystemRoot\system32\DRIVERS\epfw.sys
F6ED5000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B8C50000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B8BDB000 - \SystemRoot\system32\DRIVERS\eamon.sys
B8B61000 - \SystemRoot\system32\DRIVERS\srv.sys
B8DCC000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
B8D5C000 - \SystemRoot\system32\DRIVERS\secdrv.sys
B8788000 - \SystemRoot\System32\Drivers\HTTP.sys
B8633000 - \SystemRoot\system32\drivers\wdmaud.sys
B86E8000 - \SystemRoot\system32\drivers\sysaudio.sys
F79F8000 - \??\C:\DOCUME~1\CYRIL\LOCALS~1\Temp\catchme.sys
F7CE7000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 140

Liste des programmes installes

1500
1500_Help
1500Trb
7 Sins
Ad-Aware 2007
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 7.1.0 - Français
AiO_Scan
AiOSoftware
Archiveur WinRAR
ATI - Utilitaire de désinstallation du logiciel
ATI Control Panel
ATI Display Driver
µTorrent
BufferChm
Call of Duty
CCleaner (remove only)
Codec Pack - All In 1 6.0.2.7
CodeStuff Starter
Commande ECHO désactivée.
Conexant AC-97 Audio
Conexant Data Fax Modem with SmartCP
Connexion Facile à Internet
Connexion Facile à Internet
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB914440)
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB883667
Correctif Windows XP - KB884020
Correctif Windows XP - KB884575
Correctif Windows XP - KB885250
Correctif Windows XP - KB885464
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB885855
Correctif Windows XP - KB885884
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888239
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Correctif Windows XP - KB892559
CP_Package_Variety1
CP_Package_Variety2
CP_Package_Variety3
CustomerResearchQFolder
Destinations
DeviceManagementQFolder
DibaNet
DirectX for Managed Code Update (February 2005)
Disney Winnie l'Ourson C'est la récré !
DocProc
DVD Shrink 3.2
DVICO TViX Manager 1.55
EasyCleaner
ESET Online Scanner
ESET Smart Security
eSupportQFolder
FastStone Image Viewer 3.2
Fax
FileZilla (remove only)
FlexiPoints 2.01
Freeplayer
GdiplusUpgrade
Google SketchUp
Google Talk (remove only)
GrabIt 1.6.2 Beta (build 940)
Haali Media Splitter
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
HP Extended Capabilities 5.3
HP Help and Support
HP Imaging Device Functions 5.3
HP Photosmart Essential
HP PSC & OfficeJet 5.3.B
HP Software Update
HP Solution Center & Imaging Support Tools 5.3
HP Wireless Assistant 1.01 A2
HPProductAssistant
HpSdpAppCoreApp
InterVideo WinDVD
iTunes
iTunes
J2SE Runtime Environment 5.0 Update 10
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) SE Runtime Environment 6 Update 1
Kaspersky On-line Scanner
Kaspersky Online Scanner
KitchenDraw 4.5
Lapin Malin Cours Préparatoire + Atelier de dessin & de musique
Lapin Malin Maternelle 1
Lecteur Windows Media 10
LS_HSI
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
MarketResearch
Marsu-Fix
Matroska Playback Pack
MFCDLL Shared Library - Retail Version
Microsoft (R) C Runtime Library
Microsoft (R) C++ Runtime Library
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft ActiveSync 3.7
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional avec FrontPage
Microsoft Windows Media Video 9 VCM
Microsoft Works
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893066)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB896688)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911280)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917159)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB921883)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB904942)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB932823-v3)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mozilla Firefox (2.0.0.14)
MSN
MSXML 3.0
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
Navilog1 3.5.7
Nero 6 Ultra Edition
NewCopy
NOD32 FiX v2.1
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Norton PartitionMagic
Norton PartitionMagic 8.0
Nvu 1.0
PDF Editeur 2
PokerTH
PokerTH
Prince of Persia l'Ame du Guerrier
ProductContext
Quick Launch Buttons 5.10 A2
QuickTime
QuickTime
Readme
Real Alternative 1.46
Récupérez vos Fichiers
Réseau France BdAlti
Réseau France BdAlti
Réseau France BdNyme
Réseau France BdNyme
Scan
ScannerCopy
SDFormatter
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Shareaza version 2.2.1.0
SolutionCenter
Sonic Audio Module
Sonic Copy Module
Sonic Data Module
Sonic Express Labeler
Sonic MyDVD Plus
Sonic Update Manager
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Status
Sybase PowerAMC 10.0
Sybase PowerAMC 10.0
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
TIxx21
TotalCopy 1.2 (Luki Edition)
TrayApp
Turbo Lister
Unload
VideoLAN VLC media player 0.8.5
VOD Recorder
WebFldrs XP
WebReg
Winamax Poker (remove only)
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
WinPcap 3.1
Wow Cartographe 1.07
XviD MPEG-4 Video Codec
Yahoo! Messenger
Yahoo! Toolbar
Yahoo! Toolbar avec bloqueur de fenêtres pop-up



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\Program Files

02/06/2008 07:27 <REP> .
02/06/2008 07:27 <REP> ..
24/05/2006 16:53 <REP> Adobe
04/11/2005 10:29 <REP> Ahead
14/12/2005 17:38 <REP> Alcohol Soft
20/12/2007 23:45 <REP> a-squared Free
23/05/2005 04:19 <REP> ATI Technologies
02/08/2006 08:54 <REP> AvantGo Connect
28/10/2005 21:48 <REP> BitComet
03/11/2007 00:10 <REP> BitComet_0.59
22/07/2007 15:17 <REP> Call of Duty
09/01/2007 00:30 <REP> CCleaner
10/06/2006 17:20 <REP> Codec Pack - All In 1
11/08/2006 07:56 <REP> Codemasters
24/04/2008 22:32 <REP> CodeStuff
02/08/2006 08:51 <REP> Common Files
19/05/2007 13:52 <REP> ComPlus Applications
23/05/2005 02:51 <REP> CONEXANT
24/01/2008 19:13 <REP> DibaNet
14/12/2005 19:11 <REP> Disney Interactive
26/02/2006 00:39 <REP> DVD Shrink
21/12/2005 01:43 <REP> DVICO
07/12/2006 15:49 <REP> Easy Internet signup
28/03/2006 23:00 <REP> eBay
28/05/2008 00:24 <REP> Eset
24/04/2008 22:00 <REP> EsetOnlineScanner
22/06/2006 00:12 <REP> EVP
20/05/2007 18:47 <REP> FastStone Image Viewer
07/04/2008 08:09 <REP> Fichiers communs
07/02/2006 01:54 <REP> FileZilla
16/07/2007 23:42 <REP> Freeplayer
03/07/2007 22:07 <REP> GetData
27/02/2008 10:06 <REP> Google
22/04/2007 14:26 <REP> GrabIt
23/05/2005 04:33 <REP> Hewlett-Packard
22/06/2006 19:56 <REP> Hp
23/10/2005 21:31 <REP> HPQ
23/05/2005 03:58 <REP> Intel
09/04/2008 19:10 <REP> Internet Explorer
23/05/2005 04:30 <REP> InterVideo
23/05/2005 04:35 <REP> iPod
23/05/2005 04:35 <REP> iTunes
20/03/2008 22:50 <REP> Java
07/04/2008 08:12 <REP> Lavasoft
02/06/2008 00:38 <REP> Malwarebytes' Anti-Malware
11/01/2006 20:27 <REP> Matroska Pack
10/01/2006 03:42 <REP> Matroska Playback Pack
10/01/2006 10:06 <REP> Media Player Classic
23/05/2005 04:37 <REP> Messenger
20/01/2007 18:22 <REP> Micro Application
20/12/2007 08:18 <REP> Microsoft ActiveSync
11/05/2007 03:04 <REP> Microsoft CAPICOM 2.1.0.2
24/10/2005 02:00 <REP> microsoft frontpage
21/11/2005 03:54 <REP> Microsoft Office
23/05/2005 04:22 <REP> Microsoft Works
04/01/2006 01:57 <REP> MICROSTAR
20/12/2007 12:12 <REP> Mindscape
08/09/2006 23:01 <REP> Minitel
22/02/2006 22:36 <REP> Monte Cristo
23/05/2005 11:45 <REP> Movie Maker
02/06/2008 17:29 <REP> Mozilla Firefox
03/01/2006 23:00 <REP> MSN
23/05/2005 11:45 <REP> MSN Gaming Zone
14/10/2006 16:52 <REP> MSXML 4.0
01/06/2008 17:31 <REP> Navilog1
23/05/2005 11:45 <REP> NetMeeting
02/04/2006 01:24 <REP> Nokia
30/04/2008 21:38 <REP> Nvu
21/11/2005 10:28 <REP> OfficeUpdate11
23/05/2005 11:45 <REP> Online Services
26/05/2008 21:54 <REP> OpenOffice.org1.1.5
01/06/2008 22:05 <REP> Outlook Express
21/06/2007 19:11 <REP> Panasonic
29/01/2006 03:51 <REP> PDF Editeur 2
07/01/2007 23:35 <REP> PocketRAR
28/03/2008 00:51 <REP> PokerTH
07/01/2006 11:05 <REP> QuickTime
10/01/2006 10:07 <REP> Real Alternative
23/05/2005 04:34 <REP> Services en ligne
15/01/2006 17:55 <REP> Shareaza
23/05/2005 04:30 <REP> Sonic
16/03/2007 22:45 <REP> Spb Software House
15/02/2008 00:12 <REP> Spybot - Search & Destroy
04/02/2006 00:39 <REP> Sybase
03/08/2007 21:28 <REP> Symantec
23/05/2005 04:30 <REP> Synaptics
07/01/2007 00:59 <REP> ToniArts
30/05/2008 20:24 <REP> Trend Micro
08/01/2006 04:46 <REP> Ubisoft
13/10/2006 00:11 <REP> uTorrent
08/10/2006 23:24 <REP> VideoLAN
16/12/2005 02:42 <REP> VOD Recorder
31/03/2008 07:56 <REP> Weight Watchers
17/04/2008 20:12 <REP> WinamaxPoker
15/02/2006 07:33 <REP> Windows Media Player
23/05/2005 11:45 <REP> Windows NT
16/12/2005 02:36 <REP> WinPcap
10/08/2006 04:00 <REP> WinRAR
10/05/2006 01:29 <REP> WMV9_VCM
20/03/2008 22:15 <REP> WowCartographe
23/05/2005 11:45 <REP> xerox
10/05/2006 01:29 <REP> XviD
23/10/2005 15:14 <REP> Yahoo!
0 fichier(s) 0 octets
103 Rép(s) 4 083 920 896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\Program Files\fichiers communs

07/04/2008 08:09 <REP> .
07/04/2008 08:09 <REP> ..
28/05/2008 01:05 <REP> Adobe
04/11/2005 10:29 <REP> Ahead
05/09/2006 11:17 <REP> AOL
12/04/2007 03:08 <REP> Blizzard Entertainment
21/11/2005 03:55 <REP> Designer
26/10/2005 01:02 <REP> Hewlett-Packard
19/10/2007 18:39 <REP> HP
27/07/2006 20:50 <REP> InstallShield
23/05/2005 04:11 <REP> Java
23/05/2005 04:47 <REP> LightScribe
21/11/2005 10:27 <REP> Microsoft Shared
23/05/2005 11:45 <REP> MSSoap
26/03/2006 23:56 <REP> Nokia
23/05/2005 11:45 <REP> ODBC
05/11/2005 02:14 <REP> PC SOFT
26/03/2006 23:56 <REP> PCSuite
23/05/2005 11:45 <REP> Services
09/01/2006 03:10 <REP> Sonic Shared
23/05/2005 11:45 <REP> SpeechEngines
23/05/2005 04:30 <REP> SureThing Shared
20/03/2007 00:10 <REP> Symantec Shared
13/06/2007 03:02 <REP> System
23/05/2005 04:29 <REP> TiVo Shared
07/04/2008 08:09 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
26 Rép(s) 4 083 916 800 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

21/11/2005 10:27 <REP> .
21/11/2005 10:27 <REP> ..
21/11/2005 03:55 <REP> 1033
21/11/2005 10:27 <REP> 1036
29/01/2004 16:08 1 277 952 MSONSEXT.DLL
13/02/2001 09:23 58 784 MSOSV.DLL
03/06/1999 07:09 122 937 MSOWS409.DLL
07/03/2001 02:00 127 033 MSOWS40c.DLL
06/08/2000 11:04 401 462 MSVCP60.DLL
29/01/2004 16:08 69 632 PKMAXCTL.DLL
29/01/2004 16:08 868 352 PKMCDO.DLL
29/01/2004 16:08 53 248 PKMCORE.DLL
29/01/2004 16:08 102 400 PKMFORMS.DLL
29/01/2004 16:38 634 880 PKMRES.DLL
29/01/2004 16:08 28 672 PKMSSTLB.DLL
22/01/2001 04:25 40 960 PKMTEMPL.DLL
29/01/2004 16:08 24 576 PKMTRACE.DLL
29/01/2004 16:08 86 016 PKMWS.DLL
29/01/2004 16:08 237 568 PROMDEMO.DLL
29/01/2004 16:08 184 320 SECMGR.DLL
29/01/2004 16:08 315 392 VAIDDMGR.DLL
29/01/2004 16:08 32 768 VAIMEM.DLL
18 fichier(s) 4 666 952 octets
4 Rép(s) 4 083 916 800 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2490-16AF

Répertoire de C:\Program Files\common files

02/08/2006 08:51 <REP> .
02/08/2006 08:51 <REP> ..
02/08/2006 08:51 <REP> Microsoft Shared
0 fichier(s) 0 octets
3 Rép(s) 4 083 916 800 octets libres




c:\Documents and Settings\CYRIL\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\CYRIL\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
c:\Documents and Settings\CYRIL\Application Data\Microsoft\Installer\{2C4DDA22-BF40-4D9E-8360-D0ACB322FB95}\ARPPRODUCTICON.exe
c:\Documents and Settings\CYRIL\Application Data\Microsoft\Installer\{2C4DDA22-BF40-4D9E-8360-D0ACB322FB95}\FlexiPoints.exe_2C4DDA22BF404D9E8360D0ACB322FB95.exe
c:\Documents and Settings\CYRIL\Application Data\Microsoft\Installer\{2C4DDA22-BF40-4D9E-8360-D0ACB322FB95}\FlexiPoints.exe1_2C4DDA22BF404D9E8360D0ACB322FB95.exe
c:\Documents and Settings\CYRIL\Application Data\Microsoft\Installer\{2C4DDA22-BF40-4D9E-8360-D0ACB322FB95}\UNINST_Deinstalliere_2C4DDA22BF404D9E8360D0ACB322FB95.exe
c:\Documents and Settings\CYRIL\Bureau\mplayerc.exe
c:\Documents and Settings\CYRIL\Bureau\Navilog1.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\CYRIL\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\FileZilla_2_2_16_setup.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\Firefox Setup 1.0.7.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\gspot221.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\iTunesSetup.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\spybotsd14.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\TViXManager_1.55Full.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\TViXManager_1.55Web.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\vodrecordersetup20.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\w2pdfprosp.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\WinPcap_3_0_a4.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\WinPcap_3_1.exe
c:\Documents and Settings\CYRIL\Bureau\Tools\GSpot252b01\GSpot.exe
c:\Documents and Settings\CYRIL\Menu Démarrer\Programmes\COKTEL\Désinstalleur Coktel.exe
c:\Documents and Settings\CYRIL\Mes documents\Downloads\BitComet_0.70_setup.exe
c:\Documents and Settings\CYRIL\Mes documents\Downloads\Shareaza_2.2.1.0.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\Kd452.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\net_platform815_win32.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\wrar351fr.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\codecs\Codecs6027_allin1.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\codecs\XVid_v22.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\codecs\xvid-1.0.3.exe
c:\Documents and Settings\CYRIL\Mes documents\Internet\codecs\XviD-1.0.3-20122004.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\avgas-setup-7.5.0.50.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\CertiNomis.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\dibanetv701.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\HJTInstall.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\mbam-setup.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\OTMoveIt2.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\putty.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\rpc412_setup.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\SDFix.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\VirtumundoBeGone.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\VundoFix.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0104\ZR_1.0.0.37\Zeb-Restore.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0602\XnView-win-full.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0602\XnView-win-full-fr.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0602\phpmyvignettes\nconvert.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0602\phpmyvignettes\PhpMyVignettes.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0712\antivir-personal-edition_antivir_personal_edition_6.32.00.51_anglais_10821.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0712\classic_winnt_en.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0712\Shareaza_2.2.1.0.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\0901\DVX_4.0.4.3.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\1110\utorrent.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\1110\uTorrent-1.6-install.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\1412\a2personalsetup.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\1412\sm700p\Install.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\1611\gaea_setup.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2112\Matroska_Pack_Full_v1.1.1.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2112\Matroska_Playback_Pack_0.5.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2301\pdfediteur!.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2311\Alcohol120_trial_1_9_5_3105.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2311\avwinsfx.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2311\HijackThis.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2311\stng259.exe
c:\Documents and Settings\CYRIL\Mes documents\Mail\2311\tc120LukiEditionXP.exe
c:\Documents and Settings\CYRIL\Mes documents\Mises à jour de programme téléchargées\Update Manager\Data Module, v2.0.0.1\Data2001HPN.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\pocketrar350fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\AllSaveSDcard09062007\Celeris Virtual Pool Mobile\VPMobile.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\AllSaveSDcard09062007\Hexacto Tennis\Tennis.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\AllSaveSDcard09062007\Spb Imageer\Services.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\AllSaveSDcard09062007\Spb Imageer\SpbImageer.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\Backup System\Backup_20071026.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\Backup System\Backup_20071113.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\PDA\Pocket_Informant_Pro_Français_Setup.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\PDA\pocketrar35b5.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\PDA\tcmdpocketarm.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\PDA\tcpmp.setup.0.66.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\PDA\wrar350b7fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\SPB\SpbMobileDVD_setup_fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\SPB\SpbPocketPlus2_setup_fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\SPB\SpbPocketPlus3_setup_fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\SPB\SpbWeather_setup_fr.1.6.2.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\SPB\SpbWeather_setup_fr.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\SetupCheckPOInt_PPC2002.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\SetupCheckPOInt6.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Event_Logger-7.1\Sources\acal.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Event_Logger-7.1\Sources\bz2cat.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Event_Logger-7.1\Sources\top.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Event_Logger-7.1\Sources\zip.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Event_Logger-7.1\Sources\zsh.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\ITNConv\ITNConv.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\logconv\LOGConv.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\logconv\LogConv_ppc.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Tomtom.Navigator.3.03.Crack.By.Master\TomTom Navigator.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\Tomtom.Navigator.3.03.Crack.By.Master\TomTom Navigator v3.03\setup.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\TomTom3\Tomtom Navigator 3.07 Crack\TomTom Navigator.exe
c:\Documents and Settings\CYRIL\Mes documents\PDA\TomTom\TomTom3\Tomtom Navigator 3.07 Crack\Tomtom ttnupd307.exe
c:\Documents and Settings\CYRIL\Mes documents\Tvix\TViXManager_1.57Full.exe
c:\Documents and Settings\VIRGINIE\setup.exe
c:\Documents and Settings\VIRGINIE\Application Data\Microsoft\Installer\{99CC78D1-2356-497C-84C1-F239884001EC}\ARPPRODUCTICON.exe
c:\Documents and Settings\VIRGINIE\Bureau\ToolbarSetup.exe
c:\Documents and Settings\VIRGINIE\Bureau\ABC Amber PDF Merger\abcpdfmg_setup.exe
c:\Documents and Settings\VIRGINIE\Bureau\starter_starter_5.6.2.8_francais_12492\StarterSetup.exe
c:\Documents and Settings\VIRGINIE\Mes documents\OOo_1.1.5_Win32Intel_install_fr\OOo_1.1.5_Win32Intel_install_fr\setup.exe
c:\Documents and Settings\CYRIL\Application Data\TaoUSign\jsec.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll
c:\Documents and Settings\CYRIL\Local Settings\Application Data\Seven Zip\Formats\7z.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_OUASSOU.tar.gz a l'adresse http://upload.malekal.com



Est ce que je dois faire aussi le choix 2 comme indiqué dans le tuto.

Wassou
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
il en reste pas mal encore
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
0
Réponse 46 / 72
wassou
 
Apres l'execution de ComboFix en desactivant SpyBot et Eset Nod32 (via le tuto), voici le rapport c:\ComboFix.txt

ComboFix 08-06-01.6 - CYRIL 2008-06-02 23:12:32.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.437 [GMT 2:00]
Endroit: C:\Documents and Settings\CYRIL\Mes documents\Mail\[u]0/u104\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM27a3259c.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cxqkitwl.ini
C:\WINDOWS\system32\hhjTstwa.ini
C:\WINDOWS\system32\hhjTstwa.ini2
C:\WINDOWS\system32\jlimmpog.ini
C:\WINDOWS\system32\ovqxarwp.ini
C:\WINDOWS\system32\pwraxqvo.dll
C:\WINDOWS\system32\rsYxaJlm.ini
C:\WINDOWS\system32\rsYxaJlm.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_poof

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 ))))))))))))))))))))))))))))))))))))
.

2008-06-02 23:16 . 2008-06-01 16:39 48,640 -r-hs---- C:\WINDOWS\system32\ctfmon.dll
2008-06-02 19:39 . 2008-06-02 19:39 10,476,544 --a------ C:\upload_moi_OUASSOU.tar.gz
2008-06-02 09:10 . 2008-06-02 09:10 <REP> d-------- C:\_OTMoveIt
2008-06-02 08:07 . 2008-06-02 08:07 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Documents and Settings\CYRIL\Application Data\Malwarebytes
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-02 00:38 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-02 00:38 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-01 20:19 . 2008-06-01 20:19 <REP> d-------- C:\VundoFix Backups
2008-06-01 17:38 . 2008-06-01 17:38 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-01 17:20 . 2008-06-01 17:31 <REP> d-------- C:\Program Files\Navilog1
2008-06-01 17:00 . 2008-06-02 08:41 <REP> d-------- C:\SDFix
2008-05-30 20:24 . 2008-05-30 20:24 <REP> d-------- C:\Program Files\Trend Micro
2008-05-29 07:48 . 2008-05-30 22:23 326 --a------ C:\WINDOWS\wininit.ini
2008-05-28 00:31 . 2008-05-28 00:31 159,841 --a------ C:\WINDOWS\Marsu-Fix Uninstaller.exe
2008-05-28 00:26 . 2008-05-28 00:26 <REP> d-------- C:\Documents and Settings\CYRIL\Application Data\ESET
2008-05-28 00:24 . 2008-05-28 00:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-05-27 23:36 . 2008-05-28 00:24 <REP> d-------- C:\Program Files\Eset
2008-05-27 23:10 . 2008-05-27 23:10 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-05-10 11:53 . 2008-05-10 11:53 58 ---hs---- C:\WINDOWS\system32\User.ini
2008-05-10 11:48 . 2008-06-01 16:39 48,640 -r-hs---- C:\WINDOWS\system32\wmoptimizer.dll
2008-05-08 23:39 . 2008-05-08 23:39 81,465 --a------ C:\WINDOWS\system32\drivers\klif.cab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 13:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-27 23:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-27 23:04 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\AdobeUM
2008-05-26 19:54 --------- d-----w C:\Program Files\OpenOffice.org1.1.5
2008-05-10 07:58 50,768 -c--a-w C:\Documents and Settings\CYRIL\Application Data\GDIPFONTCACHEV1.DAT
2008-04-30 21:50 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\Nvu
2008-04-30 19:38 --------- d-----w C:\Program Files\Nvu
2008-04-24 20:32 --------- d-----w C:\Program Files\CodeStuff
2008-04-24 20:00 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-04-17 18:12 --------- d-----w C:\Program Files\WinamaxPoker
2008-04-07 06:12 --------- d-----w C:\Program Files\Lavasoft
2008-04-07 06:12 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\Lavasoft
2008-04-07 06:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-07 06:09 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-02 16:22 41,360 ----a-w C:\Documents and Settings\VIRGINIE\Application Data\GDIPFONTCACHEV1.DAT
2006-03-28 20:57 243,756 -c--a-w C:\Documents and Settings\VIRGINIE\setup.exe
2005-10-28 22:12 0 -c--a-w C:\Documents and Settings\CYRIL\Application Data\wklnhst.dat
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
2007-01-26 14:59 8,784 -c--a-w C:\Program Files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-01-10 10:30 245,408 -c--a-w C:\Program Files\mozilla firefox\plugins\unicows.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C85A234-3AB9-44CD-8D75-FAB6748D6614}]
C:\WINDOWS\system32\mlJaxYsr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA84AAFD-E62E-4908-914A-C1A2248D42E6}]
C:\WINDOWS\system32\awtsTjhh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 10:00 15360]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 22:49 4662776]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 20:38 1957888]
"WDAutomaticUpdate"=" /EXECMAJ" []
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-04-20 09:57 847872]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 17:20 401491]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-11-21 04:12 3297280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-08 21:05 339968]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 14:12 102492]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 14:11 692316]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-10-22 12:18 229438]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 13:54 253952]
"Resume copy"="copyfstq.exe" [2002-03-24 13:54 46080 C:\WINDOWS\COPYFSTQ.EXE]
"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-01 15:11 794624]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"DataLayer"="C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe" [2005-03-31 09:30 1106944]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-03-22 09:39 167936]
"eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 13:24 290816]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-03-13 16:48 1443072]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-01-07 11:05 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 10:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUmjGXN]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Program Files\\BitComet_0.59\\BitComet.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8504:TCP"= 8504:TCP:BitComet 8504 TCP
"8504:UDP"= 8504:UDP:BitComet 8504 UDP

R2 WMOptimizer;Windows Media Optimizer;C:\WINDOWS\system32\svchost.exe [2004-08-05 10:00]
S0 FileGhst;FileGhost File Protector;C:\WINDOWS\system32\Drivers\FileGhst.sys []
S1 eusk2par;EUTRON SmartKey Parallel Driver;C:\WINDOWS\system32\Drivers\eusk2par.sys [2004-11-18 13:49]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
wmosvr REG_MULTI_SZ WMOptimizer

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-02 23:18:59
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe????????7?3?3?6??????? ???B?????????????H<C? ??????

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Eset\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\TEMP\wupdmger.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-02 23:25:04 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-02 21:24:59

Pre-Run: 4,688,662,528 octets libres
Post-Run: 4,634,349,568 octets libres

190 --- E O F --- 2008-05-30 18:58:39

Je vois qu'il y a tjs C:\WINDOWS\TEMP\wupdmger.exe qui revient dans la liste.
Et puis je le retrouve avec Eset Nod32. Je refuse tjs l'application de communiquer avec un ordinateur distant.

Wassou
J'ai remis SpyBot et Eset Nod32 en route apres le redemmarrage et la fin de rapport.
0
Réponse 47 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
C:\WINDOWS\system32\ctfmon.dll
C:\WINDOWS\TEMP\wupdmger.exe
fais examiner ces fichiers sur virus total
https://www.virustotal.com/gui/
0
wassou
 
Bonjour papyber,

j'ai analysé le fichier ctfmon.exe .
Je n'arrive plus a trouver le windows\temp\wupdmger.exe dans ce repertoire. A croire qu'il apparait et disparait comme bon lui semble. En tout cas, a chaque redemarrage, Nod32 me demande si j'autorise ou refuse que ce fichier entre en communication avec un ordi distant. Je refuse a chaque fois. Mais c'est bizarre qu'il ne soit pas dans le repertoire...

Voici le rapport :

Fichier ctfmon.exe reçu le 2008.05.01 18:29:35 (CET)
Situation actuelle: terminé
Résultat: 0/31 (0.00%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.1.0 2008.05.01 -
AntiVir 7.8.0.11 2008.05.01 -
Authentium 4.93.8 2008.04.30 -
Avast 4.8.1169.0 2008.04.30 -
AVG 7.5.0.516 2008.05.01 -
BitDefender 7.2 2008.05.01 -
CAT-QuickHeal 9.50 2008.05.01 -
ClamAV 0.92.1 2008.05.01 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5750 2008.05.01 -
Ewido 4.0 2008.05.01 -
F-Prot 4.4.2.54 2008.05.01 -
F-Secure 6.70.13260.0 2008.05.01 -
Fortinet 3.14.0.0 2008.05.01 -
Ikarus T3.1.1.26 2008.05.01 -
Kaspersky 7.0.0.125 2008.05.01 -
McAfee 5285 2008.04.30 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3069 2008.05.01 -
Norman 5.80.02 2008.04.30 -
Panda 9.0.0.4 2008.05.01 -
Prevx1 V2 2008.05.01 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.01 -
Sunbelt 3.0.1097.0 2008.05.01 -
Symantec 10 2008.05.01 -
TheHacker 6.2.92.298 2008.04.30 -
VBA32 3.12.6.5 2008.05.01 -
VirusBuster 4.3.26:9 2008.05.01 -
Webwasher-Gateway 6.6.2 2008.05.01 -
Information additionnelle
File size: 15360 bytes
MD5...: 5584247b568c2e53934873f4b655fe6a
SHA1..: a77492cd2a3819b44fd3c074fa584d8f128d051a
SHA256: 3911da1e2c80b8eb688524f19d3d44a290c75fbd78f7a80481c48eda323f65cc
SHA512: 19c8fe5c7d9d03184e9332b473b8a7f94b15264efe49cbdf8c6453a6aeba664f
c5fbaf058f9f7c8b2df49b8708f4be923de1d38a9ff3cbdd047660285f87c460
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402e35
timedatestamp.....: 0x41107bfa (Wed Aug 04 06:02:34 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2ab8 0x2c00 6.76 f366a0dc6c20b31611055c0b71f6e4d9
.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240
.rsrc 0x5000 0x880 0xa00 3.86 32c660509abcbefb521d4bd2b88fe0fc

( 6 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA
> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress
> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics
> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem
> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar

( 0 exports )
0
Réponse 48 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
bien on continue dans ce cas
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A): 
Folder::
C:\VundoFix Backups
C:\_OTMoveIt 
 
File::
C:\WINDOWS\system32\mlJaxYsr.dll
C:\WINDOWS\system32\awtsTjhh.dll
C:\WINDOWS\TEMP\wupdmger.exe
C:\upload_moi_OUASSOU.tar.gz
 
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C85A234-3AB9-44CD-8D75-FAB6748D6614}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA84AAFD-E62E-4908-914A-C1A2248D42E6}]

Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
poste le rapport obtenu
avec un rapport hijack this
0
wassou
 
Je n'ai pas eu le temps de le faire ce matin.

Je reprendrais la procedure ce soir en rentrant.

bonne journée

Wassou
0
Réponse 49 / 72
wassou
 
Bon j'ai copié les lignes dans un fichier et j'ai fais un drag/drop dans ComboFix. Voici le rapport

J'ai eu qq soucis de connection, ma connexion etait en limité ou non trouvé. Il a fallu que je reboot, peut etre est-ce au lancement de ComboFix.

ComboFix 08-06-01.6 - CYRIL 2008-06-03 19:20:45.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.556 [GMT 2:00]
Endroit: C:\Documents and Settings\CYRIL\Mes documents\Mail\[u]0[/u]104\ComboFix.exe
Command switches used :: C:\Documents and Settings\CYRIL\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\upload_moi_OUASSOU.tar.gz
C:\WINDOWS\system32\awtsTjhh.dll
C:\WINDOWS\system32\mlJaxYsr.dll
C:\WINDOWS\TEMP\wupdmger.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_OTMoveIt
C:\_OTMoveIt\MovedFiles\[u]0[/u]6022008_091057.log
C:\_OTMoveIt\MovedFiles\[u]0[/u]6022008_091057.res
C:\_OTMoveIt\MovedFiles\[u]0[/u]6022008_091057\WINDOWS\system32\ctfmon.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]6022008_091057\WINDOWS\Temp\wupdmger.exe
C:\upload_moi_OUASSOU.tar.gz
C:\VundoFix Backups
C:\WINDOWS\system32\ctfmon.dll
C:\WINDOWS\TEMP\wupdmger.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-03 to 2008-06-03 ))))))))))))))))))))))))))))))))))))
.

2008-06-03 14:46 . 2008-06-03 14:46 <REP> d-------- C:\Documents and Settings\VIRGINIE\Application Data\ESET
2008-06-02 08:07 . 2008-06-02 08:07 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Documents and Settings\CYRIL\Application Data\Malwarebytes
2008-06-02 00:38 . 2008-06-02 00:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-02 00:38 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-02 00:38 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-01 17:38 . 2008-06-01 17:38 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-01 17:20 . 2008-06-01 17:31 <REP> d-------- C:\Program Files\Navilog1
2008-06-01 17:00 . 2008-06-02 08:41 <REP> d-------- C:\SDFix
2008-05-30 20:24 . 2008-05-30 20:24 <REP> d-------- C:\Program Files\Trend Micro
2008-05-29 07:48 . 2008-05-30 22:23 326 --a------ C:\WINDOWS\wininit.ini
2008-05-28 00:31 . 2008-05-28 00:31 159,841 --a------ C:\WINDOWS\Marsu-Fix Uninstaller.exe
2008-05-28 00:26 . 2008-05-28 00:26 <REP> d-------- C:\Documents and Settings\CYRIL\Application Data\ESET
2008-05-28 00:24 . 2008-05-28 00:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-05-27 23:36 . 2008-05-28 00:24 <REP> d-------- C:\Program Files\Eset
2008-05-27 23:10 . 2008-05-27 23:10 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-05-10 11:53 . 2008-05-10 11:53 58 ---hs---- C:\WINDOWS\system32\User.ini
2008-05-10 11:48 . 2008-06-01 16:39 48,640 -r-hs---- C:\WINDOWS\system32\wmoptimizer.dll
2008-05-08 23:39 . 2008-05-08 23:39 81,465 --a------ C:\WINDOWS\system32\drivers\klif.cab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 12:47 --------- d-----w C:\Program Files\OpenOffice.org1.1.5
2008-06-01 13:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-27 23:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-27 23:04 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\AdobeUM
2008-05-10 07:58 50,768 -c--a-w C:\Documents and Settings\CYRIL\Application Data\GDIPFONTCACHEV1.DAT
2008-04-30 21:50 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\Nvu
2008-04-30 19:38 --------- d-----w C:\Program Files\Nvu
2008-04-24 20:32 --------- d-----w C:\Program Files\CodeStuff
2008-04-24 20:00 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-04-17 18:12 --------- d-----w C:\Program Files\WinamaxPoker
2008-04-07 06:12 --------- d-----w C:\Program Files\Lavasoft
2008-04-07 06:12 --------- d-----w C:\Documents and Settings\CYRIL\Application Data\Lavasoft
2008-04-07 06:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-07 06:09 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2007-08-02 16:22 41,360 ----a-w C:\Documents and Settings\VIRGINIE\Application Data\GDIPFONTCACHEV1.DAT
2006-03-28 20:57 243,756 -c--a-w C:\Documents and Settings\VIRGINIE\setup.exe
2005-10-28 22:12 0 -c--a-w C:\Documents and Settings\CYRIL\Application Data\wklnhst.dat
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
2007-01-26 14:59 8,784 -c--a-w C:\Program Files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-01-10 10:30 245,408 -c--a-w C:\Program Files\mozilla firefox\plugins\unicows.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-02_23.24.47.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-02 21:17:33 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-03 06:06:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 10:00 15360]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 22:49 4662776]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 20:38 1957888]
"WDAutomaticUpdate"=" /EXECMAJ" []
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-04-20 09:57 847872]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 17:20 401491]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-11-21 04:12 3297280]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-08 21:05 339968]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 14:12 102492]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 14:11 692316]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-10-22 12:18 229438]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 13:54 253952]
"Resume copy"="copyfstq.exe" [2002-03-24 13:54 46080 C:\WINDOWS\COPYFSTQ.EXE]
"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-01 15:11 794624]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"DataLayer"="C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe" [2005-03-31 09:30 1106944]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-03-22 09:39 167936]
"eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 13:24 290816]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-03-13 16:48 1443072]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-01-07 11:05 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 10:00 15360]

C:\Documents and Settings\VIRGINIE\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 1.1.5.lnk - C:\Program Files\OpenOffice.org1.1.5\program\quickstart.exe [2005-07-12 02:10:00 61440]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUmjGXN]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\Hp\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Program Files\\BitComet_0.59\\BitComet.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8504:TCP"= 8504:TCP:BitComet 8504 TCP
"8504:UDP"= 8504:UDP:BitComet 8504 UDP

R2 WMOptimizer;Windows Media Optimizer;C:\WINDOWS\system32\svchost.exe [2004-08-05 10:00]
S0 FileGhst;FileGhost File Protector;C:\WINDOWS\system32\Drivers\FileGhst.sys []
S1 eusk2par;EUTRON SmartKey Parallel Driver;C:\WINDOWS\system32\Drivers\eusk2par.sys [2004-11-18 13:49]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
wmosvr REG_MULTI_SZ WMOptimizer

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 19:24:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe????????7?3?3?6??????? ???B?????????????H<C? ??????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-03 19:25:49
ComboFix-quarantined-files.txt 2008-06-03 17:25:43
ComboFix2.txt 2008-06-02 21:25:04

Pre-Run: 4,596,842,496 octets libres
Post-Run: 4,587,388,928 octets libres

186 --- E O F --- 2008-05-30 18:58:39
0
Réponse 50 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
des soucis encore?

Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur Scanner
Les signatures se chargent, etc.
0
wassou
 
Pour l'instant :
16000 sur 70500 fichiers
Temps d'analyse 19min
Temps restant estimé : 01h02min

Resultat intermediaire :
0 fichier infesté (pour l'instant)

Wassou
0
Réponse 51 / 72
wassou
 
Fin de l'analyse de BitDefender :

BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Tue, Jun 03, 2008 - 21:43:49

Info d'analyse

Fichiers scannés : 78521
Infectés Fichiers : 0

Virus Détectés
Aucun virus trouvé.

==================================

Quoi d'autre a essayer ?

Wassou
0
Réponse 52 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
pourquoi? tu as toujours des soucis?
0
wassou
 
Non, pas jusqu'a le dernier drag/drop dans ComboFix.

Je vais qd meme faire une nouvelle analyser avec webscanner de kapersky.

Une nouvelle fois un grand merci pour ton aide.

Dernieres questions :

1 - que faire avec ce Generic Host service win32, je laisse ou pas entrer ?

2 - J'ai a chaque redemarrage windows une fenetre explorer windows qui s'affiche avec le repertoire windows\system32
C'est bizarre que cette fenetre s'affiche. Je n'ai rien vu de particulier au demarrage (aucune tache connue a ma connaissance). Est un process quil'appelle ?

3 - Entre AVAST et Nod32, lequel choisir ?

Wassou
0
Réponse 53 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
generic host process
tu dis non et si tu n'as plus accès à internet c'est qu'il le faut absolument et alors tu l'autorises
pour la fenêtre dis moi ce qu'elle contient exactement
pour le scan en ligne, OK
tu choisis celui qui te semble le mieux et que tu sauras bien paramétrer, les 2 sont équivalents
à demain
0
wassou
 
Pour la fenetre, ce n'est pas une fenetre dos ou autre exe. C'est juste l'Explorateur de dossier windows qui apparait avec le repertoire \windows\system32, donc avec tous les fichiers de ce repertoire.

Pour l'analyse c'est bizarre. D'un coté BitDefender me dit qu'il ne trouve aucun fichier infecté et aucun virus detecté.
Et de l'autre, je viens de finir l'analyse avec webscanner Kaspersky et il trouve 2 virus detectés et 12 objects infectés.

Voici le rapport de Kaspersky webscanner :

Wednesday, June 04, 2008 1:21:30 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 3/06/2008
Enregistrements dans la base antivirus Kaspersky : 734747
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 92779
Nombre de virus trouvés 2
Nombre d'objets infectés 15 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:02:51

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Charon\CACHE.NDB L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\epfwlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\virlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\warnlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Application Data\Mozilla\Firefox\Profiles\vxcov5jn.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Historique\History.IE5\MSHist012008060320080604\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temp\hsperfdata_CYRIL\1988 L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temp\Perflib_Perfdata_6c4.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temp\Perflib_Perfdata_f48.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\CYRIL\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DPCC4FTZ\ADClient[1].bin Infecté : Trojan-Downloader.Win32.Delf.iec ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-06-03.19-30-10.log L'objet est verrouillé ignoré
C:\Program Files\Yahoo!\Messenger\logs\billing_CYRIL.log L'objet est verrouillé ignoré
C:\Program Files\Yahoo!\Messenger\logs\client_CYRIL.log L'objet est verrouillé ignoré
C:\Program Files\Yahoo!\Messenger\logs\network_CYRIL.log L'objet est verrouillé ignoré
C:\QooBox\Quarantine\C\upload_moi_OUASSOU.tar.gz.vir/upload_moi.tar/WINDOWS/System32/wmoptimizer.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\QooBox\Quarantine\C\upload_moi_OUASSOU.tar.gz.vir/upload_moi.tar Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\QooBox\Quarantine\C\upload_moi_OUASSOU.tar.gz.vir GZIP: infecté - 2 ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\ctfmon.dll.vir Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\QooBox\Quarantine\C\WINDOWS\TEMP\wupdmger.exe.vir Infecté : Trojan-Downloader.Win32.Delf.iec ignoré
C:\QooBox\Quarantine\C\_OTMoveIt\MovedFiles\06022008_091057\WINDOWS\system32\ctfmon.dll.vir Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\QooBox\Quarantine\C\_OTMoveIt\MovedFiles\06022008_091057\WINDOWS\Temp\wupdmger.exe.vir Infecté : Trojan-Downloader.Win32.Delf.iec ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP2\A0000081.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP3\A0000110.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP3\A0000111.exe Infecté : Trojan-Downloader.Win32.Delf.iec ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP3\A0000112.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP3\change.log L'objet est verrouillé ignoré
C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{F1D9ED0D-96E2-4218-A9F7-F0478FF4CA59}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\ctfmon.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wmoptimizer.dll Infecté : Trojan-Downloader.Win32.Agent.rpm ignoré
C:\WINDOWS\TEMP\wupdmger.exe Infecté : Trojan-Downloader.Win32.Delf.iec ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.


J'ai beau regardé a chaque fois dans C:\WINDOWS\TEMP\ mais le fichier wupdmger.exe, je ne le trouve jamais ! Pourquoi ?
0
Réponse 54 / 72
wassou
 
Sinon, j'ai vu ca dans un forum pour mon histoire de repertoire system32:

L'apparition de la fenêtre du dossier en question peut venir d'un logiciel tout à fait légitime, mais c'est inhabituel. Il y a du monde qui tourne, il faudrait les isoler un par un (long) ou installer un HIPS (logiciel qui surveille le comportement des autres logiciels), il le trouverait au démarrage et demanderait à créer une règle.

C'est sans doute l'option la plus efficace pour trouver la source de l'apparition de la fenêtre, car elle est forcément motivée par un programme, donc identifiable par ce type de logiciels.

Un programme comme system safety monitor fait ça (version gratuite dispo) :
http://www.libellules.ch/dotclear/index.php?2007/06/16/1947-system-safety-monitor

Par contre c'est contraignant quand on n'a pas l'habitude, au moindre lancement de programme, il ouvrira une fenêtre pour demander comment agir, comme le fait un firewall, mais ici, pou les programmes, c'est une sorte de firewall pour programmes en fait.
Il y a un tuto en bas du billet en cas de besoin, tu peux te contenter a priori du module "fenêtres", sans activer les autres (voir tuto), pour que ça ne bippe pas tout le temps.
0
Réponse 55 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
on va essayer ceci
Télécharge OAD ( par !aur3n7) http://sosvirus.changelog.fr/OAD.exe
- Enregistre-le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de :wupdmger
- Type de recherche : Sélectionne l'option 6 puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient
0
wassou
 
Rapport de OAD resultat.txt :

04/06/2008 ---- 9:27:03,20

----------------------------------
§§§§§§ [wupdmger] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\wupdmger]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\wupdmger\DEBUG]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\wupdmger.exe"="wupdmger"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\wupdmger.exe"="wupdmger"

*******************
[Fichier]
*******************

c:\WINDOWS\Prefetch\WUPDMGER.EXE-0FB48124.pf
c:\WINDOWS\TEMP\wupdmger.exe


*********************
[Même date]
*********************

[03/06/2008 ] ---> C:\ComboFix.txt
[03/06/2008 ] ---> C:\WINDOWS\system32\ctfmon.dll
[10/05/2008 ] ---> C:\WINDOWS\system32\User.ini
[10/05/2008 ] ---> C:\WINDOWS\system32\wmoptimizer.dll



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 56 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
va sur virus total et fais examiner ces fichiers
https://www.virustotal.com/gui/

C:\WINDOWS\system32\ctfmon.dll
C:\WINDOWS\system32\User.ini
C:\WINDOWS\system32\wmoptimizer.dll
comme ils ont été installés en même temps, je veux m'assurer s'ils sont ou pas sains...
0
wassou
 
Je ne comprends rien


C:\WINDOWS\system32\ctfmon.dll
C:\WINDOWS\system32\User.ini
C:\WINDOWS\system32\wmoptimizer.dll


Aucun de ces fichiers n'existent dans le repertoire, meme pas avec un suffixe ou prefixe.
Ont il disparus apres l'analyse, supprimés comme par enchantement ???

j'ai seulement un ctfmon.exe, user.exe
Pzr dontre, ici j'ai bien un wupdmgr.exe dans \system32
0
Réponse 57 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Pzr dontre, ici j'ai bien un wupdmgr.exe dans \system32
tu es sur du nom?
OAD montre les fichiers mais ne les supprime pas....

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
http://www.techsupportforum.com/sectools/Deckard/dss.exe

NB : Tu dois être connecté avec des droits d'Administrateur.
1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
o tu devras cliquer 2 fois sur le OK des boîtes de Dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
o quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt - ouvert en premier plan et en plein écran
extra.txt - ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
o tu n'auras pas de boîte de Dialogue (pas de OK)
o quand le traitement est terminé, un fichier texte s'affiche :
main.txt - ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.
0
wassou
 
Pour le wupdmgr.exe dans \system32
je suis sur du nom. C'est bien celui la

Wassou
0
Réponse 58 / 72
wassou
 
Main.txt :
=======

Deckard's System Scanner v20071014.68
Run by CYRIL on 2008-06-04 10:12:52
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 4 Restore Point(s) --
4: 2008-06-04 08:13:07 UTC - RP4 - Deckard's System Scanner Restore Point
3: 2008-06-03 17:20:27 UTC - RP3 - ComboFix created restore point
2: 2008-06-02 21:12:12 UTC - RP2 - ComboFix created restore point
1: 2008-06-02 21:11:56 UTC - RP1 - Point de vérification système

Backed up registry hives.
Performed disk cleanup.

[color=red]System Drive C: has 4.86 GiB (less than 15%) free.[/color]

-- HijackThis (run as CYRIL.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:57, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\TEMP\wupdmger.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\CYRIL\Mes documents\Mail\0104\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\CYRIL.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {432CAE3B-690F-4C3B-BD97-070EBDA210D5} - (no file)
O2 - BHO: (no name) - {4BE28084-04EB-49A8-81EE-02CC2257C926} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5cf0a835-6637-4102-bb93-009347857fb8} - (no file)
O2 - BHO: (no name) - {6C85A234-3AB9-44CD-8D75-FAB6748D6614} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - (no file)
O2 - BHO: (no name) - {C65185B1-D52B-44A9-861F-8201B50D1F37} - (no file)
O2 - BHO: (no name) - {EA84AAFD-E62E-4908-914A-C1A2248D42E6} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WDAutomaticUpdate] /EXECMAJ
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: wvUmjGXN - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
0
Réponse 59 / 72
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
fais examiner celui là sur virus total alors qu'on voit ce qu cela donne
j'examine en détail le rapport dss
0
wassou
 
Voila l'analyse de \system32\wupdmger.exe sur virustotal :

ichier wupdmgr.exe reçu le 2008.05.29 12:58:55 (CET)
Situation actuelle: terminé
Résultat: 0/32 (0.00%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.29.0 2008.05.29 -
AntiVir 7.8.0.19 2008.05.29 -
Authentium 5.1.0.4 2008.05.28 -
Avast 4.8.1195.0 2008.05.29 -
AVG 7.5.0.516 2008.05.29 -
BitDefender 7.2 2008.05.29 -
CAT-QuickHeal 9.50 2008.05.28 -
ClamAV 0.92.1 2008.05.29 -
DrWeb 4.44.0.09170 2008.05.29 -
eSafe 7.0.15.0 2008.05.28 -
eTrust-Vet 31.4.5832 2008.05.29 -
Ewido 4.0 2008.05.28 -
F-Prot 4.4.4.56 2008.05.28 -
F-Secure 6.70.13260.0 2008.05.29 -
Fortinet 3.14.0.0 2008.05.29 -
GData 2.0.7306.1023 2008.05.29 -
Ikarus T3.1.1.26.0 2008.05.29 -
Kaspersky 7.0.0.125 2008.05.29 -
McAfee 5305 2008.05.28 -
Microsoft 1.3520 2008.05.29 -
NOD32v2 3143 2008.05.29 -
Norman 5.80.02 2008.05.28 -
Panda 9.0.0.4 2008.05.28 -
Prevx1 V2 2008.05.29 -
Rising 20.46.32.00 2008.05.29 -
Sophos 4.29.0 2008.05.29 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.29 -
TheHacker 6.2.92.322 2008.05.28 -
VBA32 3.12.6.6 2008.05.28 -
VirusBuster 4.3.26:9 2008.05.28 -
Webwasher-Gateway 6.6.2 2008.05.29 -
Information additionnelle
File size: 32256 bytes
MD5...: b90f03815b08bca39ccc60f032295454
SHA1..: 4b6b103a5d975d2b81cc1abe8b78bbeb73999730
SHA256: 1ad1bc437d9020ad1d2645b443819c830557dee63ce9323c9bb18a2e517348a6
SHA512: 57247429f7f36792fc68f4c0dc46d3a2ddf7842d83b0c69c2a86456b8c4e3c31
2e56518963b6484ff846d51354757fa3afc77b869818a6149a4c466c56285dea
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014d5
timedatestamp.....: 0x3b7d8415 (Fri Aug 17 20:52:37 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd1a 0xe00 5.42 6230516809b8d6dd48ff2c3bac57ec8a
.data 0x2000 0x20 0x200 0.02 9475a59226943a3ad422e18169989f66
.rsrc 0x3000 0x6988 0x6a00 5.33 232ff37afdbce1edcf291983e3eba8d1

( 9 imports )
> msvcrt.dll: __p__fmode, __set_app_type, _controlfp, malloc, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _except_handler3, _exit, free, _XcptFilter, exit, _cexit, _c_exit
> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, RegCloseKey
> KERNEL32.dll: lstrcpyW, FormatMessageW, LocalFree, GetModuleHandleA
> USER32.dll: SetForegroundWindow, MessageBoxW
> SHELL32.dll: ShellExecuteW
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -
> WININET.dll: InternetGetConnectedState
> RASAPI32.dll: RasEnumEntriesW

( 0 exports )



******

Pour le rapport de dss, j'avais mis les 2 rapports dans le meme post. Apparemment la taille des rapports etait trop grande et tout n'a pas passé. Par contre, je n'arrive pas a relance DSS pour ressortir les rapports et plus precisemment le extra.txt.

Je vais essayer de recommencer.

Wassou
0
Réponse 60 / 72
wassou
 
DSS rapport - Main.txt

Deckard's System Scanner v20071014.68
Run by CYRIL on 2008-06-04 12:31:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]System Drive C: has 4.91 GiB (less than 15%) free.[/color]

-- HijackThis (run as CYRIL.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:55, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\CYRIL\Mes documents\Mail\0104\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\CYRIL.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {432CAE3B-690F-4C3B-BD97-070EBDA210D5} - (no file)
O2 - BHO: (no name) - {4BE28084-04EB-49A8-81EE-02CC2257C926} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5cf0a835-6637-4102-bb93-009347857fb8} - (no file)
O2 - BHO: (no name) - {6C85A234-3AB9-44CD-8D75-FAB6748D6614} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - (no file)
O2 - BHO: (no name) - {C65185B1-D52B-44A9-861F-8201B50D1F37} - (no file)
O2 - BHO: (no name) - {EA84AAFD-E62E-4908-914A-C1A2248D42E6} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WDAutomaticUpdate] /EXECMAJ
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: wvUmjGXN - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
0

Discussions similaires

AVIS SUR LINKEO
DO93leraincy -
tanteelise -

5 réponses
Arnaques linkeo a fuir
Zoltan75 -
brucine -

7 réponses
Victime de sextortion
Gt -
Nattoux -

2 réponses
Au sujet de la STE LINKEO
Robinmasters -
jordane45 -

1 réponse
Arnaque linkeo
Zou971 -
CallCenterLinkeoileMaurice -

3 réponses