Probleme avec regsvc32.dll et svchost.exe Résolu

Question

Bonjour,
 J'ai depuis plusieurs jours antivir qui me detecte ceci :
TR/Dldr.Small.vxz
regsvc32.dll
et zone alarme qui detecte ceci :
svchost.exe

J'ai bcp cherché sur le net des infos mais en vain. Je fais donc appel à vous car d'apres ce que j'ai pu lire, regsvc32.dll est un virus espion (key logger) qui lit tout ce que je tape. 

Suis je completement parano ou ai je effectivement un virus ?

Merci d'avance pour votre aide précieuse

Pour info : je vous écris de notre 2e pc car le pc qui a les probleme n'a meme plus acces a internet tellement sa "bug".

ep44 · Answer

Bonjour on va contrôler ça ;)

Télécharge sur le Bureau HijackThis  

http://download.hijackthis.eu/HJTInstall.exe

= Double-clique sur dessus pour l'installer 
= Clique sur Do a system scan and save the log
= Colle le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

ensuite 

Télécharge DiagHelp.zip sur ton bureau http://www.malekal.com/download/DiagHelp.zip
==> Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
==> Un nouveau dossier chercher va être créé DiagHelp
==> Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
==> Une fenêtre va s'ouvrir, choisis l'option 1
==> L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
==> Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
==> Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
==> A nouveau menu Edition / copier
==> Dans un nouveau message ici, faire un clic droit / coller
@+

aurélien · Answer

Merci d'avance pour ton aide ep44

Voila le premier rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:00, on 23/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Popup-corn\Popup-corn.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2E7C66DB-722A-4907-AD34-4E9073F6A498} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {40B198EE-8279-4752-B612-9DBCBAB02584} - C:\WINDOWS\system32\NDTVideoCompress.dll (file missing)
O2 - BHO: (no name) - {418A78C7-10A6-4703-9F84-ECCBB99C253B} - C:\WINDOWS\system32\MsQMSNSv.dll (file missing)
O2 - BHO: (no name) - {41A0E853-0FC7-4224-ABC0-6381C8CF33DF} - C:\WINDOWS\system32\wmpasf32.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64EE2678-E19E-4656-8615-2A7B98E5E614} - C:\WINDOWS\system32egsvc32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {BA9284B4-9BAF-4641-9893-04F74D15F116} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {CBA3FA6E-1728-4EF6-A2E2-001F69435B65} - C:\WINDOWS\system32\ersvc32.dll (file missing)
O2 - BHO: (no name) - {DE732D8D-A247-4C27-806B-E52B313C28BE} - C:\WINDOWS\system32\catsrv32.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

aurélien · Answer

Voici le 2e rapport; DiagHelp version v1.4 - http://www.malekal.com excute le 23/07/2008 à 19:39:41,01 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->23/07/2008 19:39:31 C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->23/07/2008 19:39:16 C:\WINDOWS\prefetch\WINACE.EXE-12732281.pf -->23/07/2008 19:38:44 C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->23/07/2008 19:37:40 C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->23/07/2008 19:37:39 C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->23/07/2008 19:34:11 C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->23/07/2008 19:34:05 C:\WINDOWS\prefetch\HIJACKTHIS.EXE-34A0FC79.pf -->23/07/2008 19:33:54 C:\WINDOWS\prefetch\HJTINSTALL.EXE-177AF5CB.pf -->23/07/2008 19:33:44 C:\WINDOWS\prefetch\USNSVC.EXE-373E4DBC.pf -->23/07/2008 19:32:39 C:\WINDOWS\System32\drivers\fidbox.dat -->23/07/2008 19:38:46 C:\WINDOWS\System32\drivers\fidbox.idx -->22/07/2008 21:08:21 C:\WINDOWS\System32\drivers\avipbb.sys -->17/07/2008 19:53:21 C:\WINDOWS\System32\drivers cpip.sys -->20/06/2008 12:45:13 C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38 C:\WINDOWS\System32\drivers cpip6.sys -->20/06/2008 11:52:06 C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52 C:\WINDOWS\System32\vsconfig.xml -->22/07/2008 21:09:28 C:\WINDOWS\System32\zllictbl.dat -->22/07/2008 19:48:59 C:\WINDOWS\System32\wpa.dbl -->21/07/2008 20:21:35 C:\WINDOWS\System32\MRT.exe -->25/06/2008 18:15:46 C:\WINDOWS\System32\mswsock.dll -->20/06/2008 19:41:06 C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 19:41:06 C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->11/05/2008 11:19:49 C:\WINDOWS\System32 moc3260.dll -->10/05/2008 16:39:54 C:\WINDOWS\System32\pndx5032.dll -->10/05/2008 16:39:47 C:\WINDOWS\System32\pndx5016.dll -->10/05/2008 16:39:47 C:\WINDOWS\System32\pncrt.dll -->10/05/2008 16:39:45 C:\WINDOWS\System32\msvcr71.dll -->10/05/2008 16:39:45 C:\WINDOWS\System32\msvcp71.dll -->10/05/2008 16:39:45 C:\WINDOWS\System32\FNTCACHE.DAT -->10/05/2008 12:21:17 C:\WINDOWS\System32\TZLog.log -->10/05/2008 12:07:44 C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36 C:\WINDOWS\System32\wininet.dll -->21/04/2008 09:02:40 C:\WINDOWS\System32\urlmon.dll -->21/04/2008 09:02:39 C:\WINDOWS\System32\shlwapi.dll -->21/04/2008 09:02:38 C:\WINDOWS\System32\shdocvw.dll -->21/04/2008 09:02:37 C:\WINDOWS\System32\pngfilt.dll -->21/04/2008 09:02:35 C:\WINDOWS\System32\mstime.dll -->21/04/2008 09:02:35 C:\WINDOWS\System32\msrating.dll -->21/04/2008 09:02:34 C:\WINDOWS\System32\mshtmled.dll -->21/04/2008 09:02:34 C:\WINDOWS\System32\mshtml.dll -->21/04/2008 09:02:34 C:\WINDOWS\WindowsUpdate.log -->23/07/2008 18:28:37 C:\WINDOWS\wiadebug.log -->23/07/2008 12:13:49 C:\WINDOWS\setupapi.log -->22/07/2008 21:17:46 C:\WINDOWS\0.log -->22/07/2008 21:09:23 C:\WINDOWS\wiaservc.log -->22/07/2008 21:09:09 C:\WINDOWS\bootstat.dat -->22/07/2008 21:08:55 C:\WINDOWS\SchedLgU.Txt -->22/07/2008 21:08:01 C:\WINDOWS\NeroDigital.ini -->03/07/2008 19:28:42 C:\WINDOWS\PhotoSnapViewer.INI -->15/05/2008 17:23:13 C:\WINDOWS\WMSysPr9.prx -->10/05/2008 12:09:13 C:\WINDOWS\QTFont.qfn -->08/05/2008 18:41:56 C:\WINDOWS\QTFont.for -->08/05/2008 18:41:56 C:\WINDOWS\wininit.ini -->21/04/2008 21:16:51 C:\WINDOWS\win.ini -->21/04/2008 16:17:22 C:\WINDOWS\system.ini -->15/02/2008 21:33:39 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1528 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x5f800000 0x16000 1.01.1593.0000 C:\PROGRA~1\WINDOW~4\MpShHook.dll 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x00e50000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x50640000 0x9000 7.00.6000.0381 C:\WINDOWS\system32\wups.dll 0x10000000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll 0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL 0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCR71.dll 0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll 0x00c50000 0x19000 2.10.0003.0002 C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll 0x01f10000 0x102000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL 0x00c70000 0xb000 7.00.0462.0000 C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll 0x00c80000 0x4000 5.03.0017.0000 C:\Program Files\Zone Labs\ZoneAlarm\zlavscan_Loc040c.dll 0x00cd0000 0x32000 2.05.0001.0000 C:\Program Files\WinAce\arcext.dll 0x02520000 0xdc000 2.06.0000.0000 C:\Program Files\WinAce\acev2.dll 0x012d0000 0x9000 2.00.0000.0004 C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll 0x01300000 0x12000 7.00.0000.0015 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll 0x02700000 0x1e2000 2.10.0001.0001 C:\Program Files\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll 0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll 0x01340000 0x8000 1.00.0000.0001 C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 0x028f0000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 664 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x011b0000 0x32000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll 0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\WINDOWS\system32 04/08/2004 00:54 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 3 983 740 928 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\WINDOWS\system32 02/05/2003 09:19 1 323 008 dmcpl.exe 1 fichier(s) 1 323 008 octets 0 Rép(s) 3 983 740 928 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\WINDOWS\Downloaded Program Files 22/07/2008 21:17 . 22/07/2008 21:17 .. 09/05/2005 18:17 65 desktop.ini 07/06/2005 16:35 1 124 872 EPUWALcontrol.dll 09/05/2005 09:54 539 EPUWALcontrol.inf 23/03/2007 12:17 1 292 erma.inf 10/04/2000 17:12 1 765 fhg.inf 05/03/2005 14:23 302 712 IDrop.ocx 05/03/2005 14:57 113 784 IDropENU.dll 07/03/2005 20:01 114 256 IDropFRA.dll 14/02/2007 18:44 378 ImageUploader4.inf 14/02/2007 18:44 2 557 752 ImageUploader4.ocx 14/03/2007 04:02 1 055 jinstall-6u1.inf 08/08/2006 11:45 576 kavwebscan.inf 09/10/2003 10:32 144 QTPlugin.inf 30/03/2006 16:20 376 SpeedUploader.inf 30/03/2006 16:21 1 857 280 SpeedUploader.ocx 27/03/2006 13:00 5 019 swflash.inf 30/07/2007 19:24 293 wuweb.inf 17 fichier(s) 6 082 158 octets Total des fichiers listés : 17 fichier(s) 6 082 158 octets 2 Rép(s) 3 983 736 832 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Messenger" "C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"="C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe:*:Enabled:Nero Home" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" REGEDIT4 [taskmgr.exe] exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... 127.0.0.1 www.activexupdate.com 127.0.0.1 activexupdate.com 127.0.0.1 www.antispywareupdates.net 127.0.0.1 antispywareupdates.net 127.0.0.1 www.avpcheckupdate.com 127.0.0.1 avpcheckupdate.com 127.0.0.1 client.exeupdate.com 127.0.0.1 www.eupdatepage.com 127.0.0.1 eupdatepage.com 127.0.0.1 www.exeupdate.com 127.0.0.1 exeupdate.com 127.0.0.1 www.hotwinupdates.com 127.0.0.1 hotwinupdates.com 127.0.0.1 www.lavasoftupdate.com 127.0.0.1 lavasoftupdate.com 127.0.0.1 www.malwarewipeupdate.com 127.0.0.1 malwarewipeupdate.com 127.0.0.1 www.msupdate.net 127.0.0.1 msupdate.net 127.0.0.1 www.msupdater.net 127.0.0.1 msupdater.net 127.0.0.1 www.necessaryupdates.com 127.0.0.1 necessaryupdates.com 127.0.0.1 newupdates.lzio.com 127.0.0.1 redirect.msupdate.net 127.0.0.1 search.keyword.exeupdate.com 127.0.0.1 www.securityupdatesite.com 127.0.0.1 securityupdatesite.com 127.0.0.1 settings.updatemysettings.com 127.0.0.1 www.spyaxeupdate.com 127.0.0.1 spyaxeupdate.com 127.0.0.1 www.spyfalconupdate.com 127.0.0.1 spyfalconupdate.com 127.0.0.1 www.systemupdates.net 127.0.0.1 systemupdates.net 127.0.0.1 trial.updates.winsoftware.com 127.0.0.1 update.680180.net 127.0.0.1 update.shareaza.com 127.0.0.1 www.updatemysettings.com 127.0.0.1 updatemysettings.com 127.0.0.1 updates.spywarequake.com 127.0.0.1 www.urgentsystemupdate.biz 127.0.0.1 urgentsystemupdate.biz 127.0.0.1 www.urgentsystemupdate.com 127.0.0.1 urgentsystemupdate.com 127.0.0.1 windupdates.com 127.0.0.1 www.pandaantivirus-2007.com 127.0.0.1 pandaantivirus-2007.com 127.0.0.1 www.pandadownload-now.com 127.0.0.1 pandadownload-now.com 127.0.0.1 www.panda-hq.com 127.0.0.1 panda-hq.com catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-23 19:40:48 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000312 "TracesSuccessful"=dword:00000311 "LastTraceFailure"=dword:00000020 scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 412 - sched.exe 640 - csrss.exe 664 - winlogon.exe 708 - services.exe 720 - lsass.exe 872 - usnsvc.exe 880 - svchost.exe 944 - svchost.exe 1040 - MsMpEng.exe 1084 - svchost.exe 1120 - IEXPLORE.EXE 1188 - svchost.exe 1284 - hpoevm08.exe 1332 - svchost.exe 1528 - explorer.exe 1652 - spoolsv.exe 1700 - avguard.exe 1908 - Popup-corn.exe 1920 - avgnt.exe 1944 - MSASCui.exe 1964 - msnmsgr.exe 1980 - TeaTimer.exe 1996 - hpobnz08.exe 2620 - alg.exe 3796 - cmd.exe Total number of processes = 26 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 toskrnl.exe 806EC000 - \WINDOWS\system32\hal.dll F8A36000 - \WINDOWS\system32\KDCOM.DLL F8946000 - \WINDOWS\system32\BOOTVID.dll F84E6000 - ACPI.sys F8A38000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F84D5000 - pci.sys F8536000 - isapnp.sys F8AFE000 - pciide.sys F87B6000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F8546000 - MountMgr.sys F84B6000 - ftdisk.sys F8A3A000 - dmload.sys F8490000 - dmio.sys F87BE000 - PartMgr.sys F8556000 - VolSnap.sys F8478000 - atapi.sys F8566000 - disk.sys F8576000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F8458000 - fltMgr.sys F8441000 - KSecDD.sys F83B4000 - Ntfs.sys F8387000 - NDIS.sys F8373000 - srescan.sys F894A000 - nv_agp.sys F8358000 - Mup.sys F86C6000 - \SystemRoot\system32\DRIVERS\amdk7.sys F884E000 - \SystemRoot\system32\DRIVERS\usbohci.sys F82CC000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F8856000 - \SystemRoot\system32\DRIVERS\usbehci.sys F82B8000 - \SystemRoot\system32\DRIVERS\NVENET.sys F8A02000 - \SystemRoot\system32\drivers vax.sys F885E000 - \SystemRoot\system32\drivers\pfc.sys F86D6000 - \SystemRoot\system32\DRIVERS\cdrom.sys F86E6000 - \SystemRoot\system32\DRIVERS edbook.sys F8295000 - \SystemRoot\system32\DRIVERS\ks.sys F86F6000 - \SystemRoot\system32\DRIVERS\imapi.sys F8163000 - \SystemRoot\system32\DRIVERS v4_mini.sys F814F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F8866000 - \SystemRoot\system32\DRIVERS\fdc.sys F813E000 - \SystemRoot\system32\DRIVERS\serial.sys F8A0E000 - \SystemRoot\system32\DRIVERS\serenum.sys F812A000 - \SystemRoot\system32\DRIVERS\parport.sys F8706000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F886E000 - \SystemRoot\system32\DRIVERS\mouclass.sys F8876000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F8C8C000 - \SystemRoot\system32\drivers\msmpu401.sys F8106000 - \SystemRoot\system32\drivers\portcls.sys F8716000 - \SystemRoot\system32\drivers\drmk.sys F8A12000 - \SystemRoot\system32\DRIVERS\gameenum.sys F8B05000 - \SystemRoot\system32\DRIVERS\audstub.sys F8726000 - \SystemRoot\system32\DRIVERS asl2tp.sys F8A16000 - \SystemRoot\system32\DRIVERS distapi.sys F80EF000 - \SystemRoot\system32\DRIVERS diswan.sys F8736000 - \SystemRoot\system32\DRIVERS aspppoe.sys F8746000 - \SystemRoot\system32\DRIVERS aspptp.sys F887E000 - \SystemRoot\system32\DRIVERS\TDI.SYS F80DE000 - \SystemRoot\system32\DRIVERS\psched.sys F8756000 - \SystemRoot\system32\DRIVERS\msgpc.sys F8896000 - \SystemRoot\system32\DRIVERS\ptilink.sys F889E000 - \SystemRoot\system32\DRIVERS aspti.sys F803D000 - \SystemRoot\system32\DRIVERS dpdr.sys F8776000 - \SystemRoot\system32\DRIVERS ermdd.sys F8A56000 - \SystemRoot\system32\DRIVERS\swenum.sys F8009000 - \SystemRoot\system32\DRIVERS\update.sys F8313000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F8786000 - \SystemRoot\system32\DRIVERS\usbhub.sys F8A5A000 - \SystemRoot\system32\DRIVERS\USBD.SYS F87A6000 - \SystemRoot\System32\Drivers\NDProxy.SYS F7E03000 - \SystemRoot\system32\drivers vapu.sys F7D3A000 - \SystemRoot\system32\drivers vmcp.sys F85A6000 - \SystemRoot\system32\drivers varm.sys F88B6000 - \SystemRoot\system32\DRIVERS\flpydisk.sys EEBE7000 - \SystemRoot\system32\DRIVERS\klif.sys F8A70000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F8BBA000 - \SystemRoot\System32\Drivers\Null.SYS F8A72000 - \SystemRoot\System32\Drivers\Beep.SYS F88C6000 - \SystemRoot\System32\drivers\vga.sys F8A74000 - \SystemRoot\System32\Drivers\mnmdd.SYS F8A76000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F88CE000 - \SystemRoot\System32\Drivers\Msfs.SYS F88D6000 - \SystemRoot\System32\Drivers\Npfs.SYS F89D2000 - \SystemRoot\system32\DRIVERS asacd.sys EEBB4000 - \SystemRoot\system32\DRIVERS\ipsec.sys EEB5C000 - \SystemRoot\system32\DRIVERS cpip.sys EEB34000 - \SystemRoot\system32\DRIVERS etbt.sys EEAD4000 - \SystemRoot\System32\vsdatant.sys EEAB3000 - \SystemRoot\system32\DRIVERS\ipnat.sys F85D6000 - \SystemRoot\system32\DRIVERS\wanarp.sys EEA69000 - \SystemRoot\System32\drivers\afd.sys F85F6000 - \SystemRoot\system32\DRIVERS etbios.sys EEA3C000 - \SystemRoot\system32\DRIVERS\anvioctl.sys F88DE000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys EDA11000 - \SystemRoot\system32\DRIVERS dbss.sys F8C1F000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS ED9A2000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F8606000 - \SystemRoot\System32\Drivers\Fips.SYS ED991000 - \SystemRoot\system32\DRIVERS\avipbb.sys F8A7E000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys F8916000 - \SystemRoot\system32\DRIVERS\asuskbnt.sys F8686000 - \SystemRoot\System32\Drivers\Cdfs.SYS ED849000 - \SystemRoot\System32\Drivers\dump_atapi.sys F8AA2000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F7E4E000 - \SystemRoot\System32\drivers\Dxapi.sys F87EE000 - \SystemRoot\System32\watchdog.sys BF000000 - \SystemRoot\System32\drivers\dxg.sys F8B5C000 - \SystemRoot\System32\drivers\dxgthk.sys BF012000 - \SystemRoot\System32 v4_disp.dll BF0E1000 - \SystemRoot\System32\ANV4DISP.DLL BF3EA000 - \SystemRoot\System32\ANVMINI.DLL ED574000 - \SystemRoot\system32\DRIVERS disuio.sys ED1D4000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys ED197000 - \SystemRoot\system32\drivers\wdmaud.sys ED390000 - \SystemRoot\system32\drivers\sysaudio.sys ECE95000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F8A9A000 - \SystemRoot\System32\Drivers\ParVdm.SYS ECD2B000 - \SystemRoot\system32\DRIVERS\srv.sys EC142000 - \SystemRoot\System32\Drivers\HTTP.sys EBE24000 - \SystemRoot\System32\Drivers\Fastfat.SYS F88EE000 - \SystemRoot\system32\DRIVERS\usbccgp.sys ECE61000 - \SystemRoot\system32\DRIVERS\usbscan.sys F882E000 - \SystemRoot\system32\DRIVERS\usbprint.sys F8846000 - \SystemRoot\system32\DRIVERS\HPZius12.sys F88AE000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS BA507000 - \SystemRoot\system32\DRIVERS\HPZid412.sys ED55C000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys F8B3C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 128 Liste des programmes installes Adobe Acrobat 5.0 Adobe Flash Player ActiveX ASUS Display Drivers Autodesk DWF Viewer Avira AntiVir Personal - Free Antivirus BayGenie eBay Auction Sniper Free Edition 3.1.3.0 BayGenie eBay Auction Sniper Pro Edition 3.1.3.0 CCleaner (remove only) Correctif Windows XP - KB873333 Correctif Windows XP - KB873339 Correctif Windows XP - KB885250 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB887742 Correctif Windows XP - KB888113 Correctif Windows XP - KB888302 Correctif Windows XP - KB890175 Correctif Windows XP - KB890859 Correctif Windows XP - KB890923 Correctif Windows XP - KB891781 Correctif Windows XP - KB893066 Correctif Windows XP - KB893086 dBpowerAMP Music Converter dBpowerAMP WMA V8 Codec DivX Content Uploader DivX Player EZface ActiveX 207 Free - Kit de connexion HijackThis 2.0.2 hp psc 2170 series Intel(R) Integrated Performance Primitives RTI 4.0 Java(TM) 6 Update 5 Kaspersky On-line Scanner Kaspersky Online Scanner LimeWire 4.12.6 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft Office 2000 Premium Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565) Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734) Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782) Mise à jour de sécurité pour Windows XP (KB883939) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896422) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896424) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB896688) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899588) Mise à jour de sécurité pour Windows XP (KB899589) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB904706) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB905915) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB908531) Mise à jour de sécurité pour Windows XP (KB911280) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911567) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB912812) Mise à jour de sécurité pour Windows XP (KB912919) Mise à jour de sécurité pour Windows XP (KB913446) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB916281) Mise à jour de sécurité pour Windows XP (KB917344) Mise à jour de sécurité pour Windows XP (KB917422) Mise à jour de sécurité pour Windows XP (KB917953) Mise à jour de sécurité pour Windows XP (KB918118) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920213) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB922819) Mise à jour de sécurité pour Windows XP (KB923191) Mise à jour de sécurité pour Windows XP (KB923414) Mise à jour de sécurité pour Windows XP (KB923689) Mise à jour de sécurité pour Windows XP (KB923694) Mise à jour de sécurité pour Windows XP (KB923980) Mise à jour de sécurité pour Windows XP (KB924270) Mise à jour de sécurité pour Windows XP (KB924667) Mise à jour de sécurité pour Windows XP (KB925902) Mise à jour de sécurité pour Windows XP (KB926255) Mise à jour de sécurité pour Windows XP (KB926436) Mise à jour de sécurité pour Windows XP (KB927779) Mise à jour de sécurité pour Windows XP (KB927802) Mise à jour de sécurité pour Windows XP (KB928090) Mise à jour de sécurité pour Windows XP (KB928255) Mise à jour de sécurité pour Windows XP (KB928843) Mise à jour de sécurité pour Windows XP (KB929123) Mise à jour de sécurité pour Windows XP (KB930178) Mise à jour de sécurité pour Windows XP (KB931261) Mise à jour de sécurité pour Windows XP (KB931784) Mise à jour de sécurité pour Windows XP (KB932168) Mise à jour de sécurité pour Windows XP (KB933729) Mise à jour de sécurité pour Windows XP (KB935839) Mise à jour de sécurité pour Windows XP (KB935840) Mise à jour de sécurité pour Windows XP (KB936021) Mise à jour de sécurité pour Windows XP (KB937894) Mise à jour de sécurité pour Windows XP (KB938127) Mise à jour de sécurité pour Windows XP (KB941202) Mise à jour de sécurité pour Windows XP (KB941568) Mise à jour de sécurité pour Windows XP (KB941569) Mise à jour de sécurité pour Windows XP (KB941644) Mise à jour de sécurité pour Windows XP (KB941693) Mise à jour de sécurité pour Windows XP (KB943055) Mise à jour de sécurité pour Windows XP (KB943460) Mise à jour de sécurité pour Windows XP (KB943485) Mise à jour de sécurité pour Windows XP (KB944338) Mise à jour de sécurité pour Windows XP (KB944653) Mise à jour de sécurité pour Windows XP (KB945553) Mise à jour de sécurité pour Windows XP (KB946026) Mise à jour de sécurité pour Windows XP (KB947864) Mise à jour de sécurité pour Windows XP (KB948590) Mise à jour de sécurité pour Windows XP (KB948881) Mise à jour de sécurité pour Windows XP (KB950749) Mise à jour de sécurité pour Windows XP (KB950759) Mise à jour de sécurité pour Windows XP (KB950760) Mise à jour de sécurité pour Windows XP (KB950762) Mise à jour de sécurité pour Windows XP (KB951376-v2) Mise à jour de sécurité pour Windows XP (KB951376) Mise à jour de sécurité pour Windows XP (KB951698) Mise à jour de sécurité pour Windows XP (KB951748) Mise à jour pour Windows XP (KB894391) Mise à jour pour Windows XP (KB896727) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) Mise à jour pour Windows XP (KB927891) Mise à jour pour Windows XP (KB930916) Mise à jour pour Windows XP (KB938828) Mise à jour pour Windows XP (KB942763) MSXML 4.0 SP2 (KB936181) Nero 7 Premium neroxml NVIDIA Windows 2000/XP Display Drivers PartitionMagic PDFCreator PDFCreator Toolbar Photo et imagerie HP 2.0 - All-in-One Photo et imagerie HP 2.0 - All-in-One Pilote Photo et imagerie HP 2.0 - hp psc 2170 series Pilotes NVIDIA nForce pour Windows 2000/XP Popup-corn (désinstallation) PowerQuest PartitionMagic 8.0 RealPlayer Remove DivX Codec Spybot - Search & Destroy TomTom HOME TuneUp Utilities 2008 USB Storage Driver VC_MergeModuleToMSI VideoLAN VLC media player 0.8.4a WebFldrs XP WinAce Archiver Winamp3 (remove only) Windows Defender Windows Installer 3.1 (KB893803) Windows Live Messenger Windows Media Format Runtime XviD Video Codec 01082002-1 (Koepi's build with EPSZ ME) ZoneAlarm Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\Program Files 23/07/2008 19:33 . 23/07/2008 19:33 .. 12/05/2005 17:05 Adobe 21/03/2006 21:37 Autodesk 11/02/2008 19:41 Avira 18/05/2008 17:10 BayGenie 22/08/2005 17:45 DivX 28/01/2007 17:27 EZFace 11/05/2008 11:18 Fichiers communs 22/08/2005 17:44 Free(3).fr 04/02/2006 13:38 Free.fr 18/05/2008 11:43 Google 01/07/2007 16:38 Hewlett-Packard 01/01/2006 16:45 Illustrate 11/06/2008 14:30 Internet Explorer 11/05/2008 11:19 Java 21/01/2007 20:39 LimeWire 09/05/2005 19:58 Messenger 21/07/2008 20:21 Microsoft AntiSpyware 09/05/2005 19:17 microsoft frontpage 22/03/2008 19:50 Microsoft Office 09/05/2005 18:16 Movie Maker 09/05/2005 18:14 MSN 09/05/2005 18:14 MSN Gaming Zone 14/09/2007 18:15 MSN Messenger 10/05/2008 13:01 MSXML 4.0 10/05/2008 12:09 Nero 09/05/2005 18:16 NetMeeting 09/05/2005 18:15 Online Services 10/05/2008 12:08 Outlook Express 24/01/2007 14:03 PDFCreator Toolbar 17/12/2006 14:45 Popup-corn 10/05/2008 09:55 PowerQuest 10/05/2008 16:39 Real 09/05/2005 18:17 Services en ligne 21/04/2008 20:44 Spybot - Search & Destroy 25/04/2008 22:19 TomTom DesktopSuite 25/04/2008 22:43 TomTom HOME 2 23/07/2008 19:33 Trend Micro 10/05/2008 09:20 TuneUp Utilities 2008 29/06/2008 22:21 VideoLAN 24/05/2008 11:06 WinAce 16/05/2005 12:48 Winamp3 21/07/2008 20:22 Windows Defender 10/05/2008 12:09 Windows Media Player 09/05/2005 18:14 Windows NT 09/05/2005 18:18 xerox 09/05/2005 19:40 XviD 21/07/2008 21:24 Zone Labs 0 fichier(s) 0 octets 49 Rép(s) 3 969 650 688 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\Program Files\fichiers communs 11/05/2008 11:18 . 11/05/2008 11:18 .. 12/05/2005 17:06 Adobe 10/05/2008 12:11 Ahead 27/05/2006 10:00 Autodesk Shared 27/05/2006 10:00 Designer 11/05/2005 16:28 Hewlett-Packard 11/09/2006 19:19 InstallShield 11/05/2008 11:18 Java 22/03/2008 19:50 Microsoft Shared 09/05/2005 18:16 MSSoap 09/05/2005 20:03 ODBC 10/05/2008 16:39 Real 09/05/2005 18:16 Services 09/05/2005 20:03 SpeechEngines 10/05/2008 12:08 System 15/03/2008 20:42 Wise Installation Wizard 10/05/2008 16:39 xing shared 0 fichier(s) 0 octets 18 Rép(s) 3 969 650 688 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est AC9C-FFCB Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 09/05/2005 18:23 . 09/05/2005 18:23 .. 18/05/2001 15:57 561 209 MSONSEXT.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 18/03/1999 07:37 593 977 RAGENT.DLL 4 fichier(s) 1 405 156 octets 2 Rép(s) 3 969 650 688 octets libres c:\Documents and Settings\Britschu\.limewire\.NetworkShare\LimeWireWin4.16.6.exe c:\Documents and Settings\Britschu\Bureau\HJTInstall.exe c:\Documents and Settings\Britschu\Bureau\RealPlayer11GOLD_fr.exe c:\Documents and Settings\Britschu\Bureau\zlsSetup_70_462_000_fr.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Britschu\Bureau\DiagHelp ar.exe c:\Documents and Settings\Britschu\Local Settings\Temp\072208194708\z4barSpInstall.exe c:\Documents and Settings\Britschu\Local Settings\Temporary Internet Files\Content.IE5\C9UJOPE3\zlsSetup_70_462_000_fr[1].exe c:\Documents and Settings\Britschu\Local Settings\Temporary Internet Files\Content.IE5\VQPPKPO9\HJTInstall[1].exe c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aecore.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeemu.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aegen.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aehelp.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeheur.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeoffice.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aepack.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aerdl.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescn.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescript.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aevdf.dll c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Default\MpEngine.dll c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{8D7D0B67-3F2C-4A83-91BF-5EC83BDB90C7}\mpengine.dll c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll c:\Documents and Settings\Britschu\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll ****** Fin du rapport DiagHelp

ep44 · Answer

Bon il semble que tes rapports sont propre 

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O2 - BHO: (no name) - {2E7C66DB-722A-4907-AD34-4E9073F6A498} - (no file)
	O2 - BHO: (no name) - {40B198EE-8279-4752-B612-9DBCBAB02584} - C:\WINDOWS\system32\NDTVideoCompress.dll (file missing)
	O2 - BHO: (no name) - {418A78C7-10A6-4703-9F84-ECCBB99C253B} - C:\WINDOWS\system32\MsQMSNSv.dll (file missing)
	O2 - BHO: (no name) - {41A0E853-0FC7-4224-ABC0-6381C8CF33DF} - C:\WINDOWS\system32\wmpasf32.dll (file missing)
	O2 - BHO: (no name) - {64EE2678-E19E-4656-8615-2A7B98E5E614} - C:\WINDOWS\system32\regsvc32.dll (file missing)
	O2 - BHO: (no name) - {BA9284B4-9BAF-4641-9893-04F74D15F116} - (no file)
	O2 - BHO: (no name) - {CBA3FA6E-1728-4EF6-A2E2-001F69435B65} - C:\WINDOWS\system32\ersvc32.dll (file missing)
	O2 - BHO: (no name) - {DE732D8D-A247-4C27-806B-E52B313C28BE} - C:\WINDOWS\system32\catsrv32.dll (file missing)
	O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent

Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked" "

Ensuite 

Télécharge malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Une aide pour l'installation 
http://www.swl1f.net/viewtopic.php?f=14&t=68


=> Installe le 
=> Ensuite va en mode sans echec 


   Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
   Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel


=> Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport

 -------------------------

ensuite 

* Télécharge CCleaner 
https://filehippo.com/download_ccleaner/
=> Aide toi de ce tuto pour l'utiliser 
http://www.swl1f.net/viewtopic.php?f=14&t=69

Aurélien · Answer

Voila le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 986
Windows 5.1.2600 Service Pack 2

05:11:36 25/07/2008
mbam-log-7-25-2008 (05-11-36).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 89101
Temps écoulé: 2 hour(s), 6 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\# Aurel #\Programmes\PLAY_MP3.exe (Adware.Agent) -> Quarantined and deleted successfully.

J'ai fixer selectionné les lignes et cliqué sur Fix Checked mais dès que je redemarre le pc une ke je fait un rapport HiJackThis il nouvelle lugne se rajoute, et voila ce que mon Antivirus me trouve : 
C:\WINDOW\system32\mscorifr.dll
is the TR/Dldr.Small.vxz Trojan
La partie que j'ai souligné change régulierement, mais le reste est tjs identique. J'avais vu qu'il se trouve dans C:/Volume Information/resto si je me souvien bien. Que faire ?

J'ai fait le nettoyage avec CCleaner.

ep44 · Answer

Bonjour 

C:/Volume Information/resto  ce sont tes points de restauration 
pour l'instant on laisse on supprimera à la fin 

On pousse la recherche 

Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:

(choisis enregistrer, puis Bureau comme emplacement)

http://deckard.geekstogo.com/dss.exe

Ferme toutes les applications en cours.

Double-clic sur comboscan.exe pour lancer l'outil.

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.

Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.

Aurélien · Answer

Voila le rapport du fichier main.txt

Deckard's System Scanner v20071014.68
Run by Britschu on 2008-07-25 18:34:12
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-07-25 16:34:18 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Britschu.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:37, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Britschu\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Britschu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {469472AD-519D-4CB7-9AE9-EFCEAE80ABE1} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6B00B089-90EE-4028-8A58-A58293E7BD89} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {FE2EC72C-1794-4F8D-9F40-8C3E0B297F0B} - C:\WINDOWS\system32\kbddv32.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ep44 · Answer

Bonjour 

rien d'infectieux en vue par contre tes mises à jours automatique sont désactivé 

je te conseil aussi de ne pas te servir du p2p
source d'infection :(

As tu encore des soucis ?

Aurélien · Answer

Oui tjs autant de soucis. Dès que mon pc démarre et que je veux ouvrir une fenetre internet je recois des message d'Antivir. J'en ai fait un print screen pour que tu puisses voir mais je ne sais pas comment joindre un fichier sur ce forum.

C'est très penible d'autant plus que à chaque démarrage c'est un nouveau non de trojan.

Qu'elle mis à jour automatique est désactivé ?? 

Qu'est ce que p2p ?

Merci

ep44 · Answer

Pour les images 
http://pix.nofrag.com/

mises à jours de ton Sytéme 

P2P et LimeWire :))==> http://forum.malekal.com/ftopic3257.php

Je ne trouve rien sur tes rapports

essaye ceci le sacn est assez long 

fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite un nouveau rapport hijack stp
@+

Aurélien · Answer

Voila quelques uns de mes trojan (selon Antivir)

http://pix.nofrag.com/3/a/c/9aaa760d82318b71a4a1fcfa0273a.html
http://pix.nofrag.com/6/e/4/6b44dcfdd9ff797b52840eeef324d.html
http://pix.nofrag.com/1/a/c/f412e8c22efbd000c36e93e2a3400.html

Pour moi, mes mises à jour sont activivé :
http://pix.nofrag.com/5/c/d/b2f85d3304f136e1ba6fd34127c4b.html
http://pix.nofrag.com/0/6/0/fd06230f3298e2eef609362a19aa2.html

ep44 · Answer

Bonjour 

as tu fait un scan avec antivir en mode sans échec

Si non fait le et mais en quarataine ce qu'il trouve

ep44 · Answer

Suite au scan de antivir en MSE 

Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:

(choisis enregistrer, puis Bureau comme emplacement)

http://deckard.geekstogo.com/dss.exe

Ferme toutes les applications en cours.

Double-clic sur comboscan.exe pour lancer l'outil.

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.

Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.

Aurélien · Answer

Ok je vais faire cela, en attendant, voila le rapport Bit denfender. j'ai du l'enregistré sur mon bureau en version Html, je sais pas comment vous le faire parvenir en plus lisible que ceci :

BitDefender Online Scanner
  
  
 
Scan report generated at: Sat, Jul 26, 2008 - 12:45:00
 
 
  
  
 
Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
  
  
 
 
  
  
 
Statistics
 
Time
 01:02:22
 
Files
 233440
 
Folders
 5432
 
Boot Sectors
 5
 
Archives
 2411
 
Packed Files
 20187
 
  
  
 
Results
 
Identified Viruses 
 10
 
Infected Files 
 15
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 15
 
  
  
 
Engines Info
 
Virus Definitions
 1391298
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 16
 
Archive plugins
 43
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 5
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Program Files\WinAce\VVSNInst.exe
 Detected with: Application.Adware.Savenow.G
 
C:\Program Files\WinAce\VVSNInst.exe
 Disinfection failed
 
C:\Program Files\WinAce\VVSNInst.exe
 Deleted
 
C:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000236.exe
 Detected with: Application.Adware.Savenow.G
 
C:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000236.exe
 Disinfection failed
 
C:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000236.exe
 Deleted
 
D:\# Aurel #\Bordel\Délires\Programme Délires\special.exe
 Detected with: Application.Joke.Justakiss.B
 
D:\# Aurel #\Bordel\Délires\Programme Délires\special.exe
 Disinfection failed
 
D:\# Aurel #\Bordel\Délires\Programme Délires\special.exe
 Deleted
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Detected with: Application.Gator.Gain.Claria.AC
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Disinfection failed
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Deleted
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)
 Update failed
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0046
 Detected with: Adware.Generic.18759
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0046
 Deleted
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe
 Update failed
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0048
 Detected with: Adware.Myway.J
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0048
 Deleted
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe
 Update failed
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)=>(Instyler Module 1)
 Infected with: Trojan.Mirchack.A
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)=>(Instyler Module 1)
 Deleted
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)
 Update failed
 
D:\# Aurel #\Programmes\Programs-Sender M-\Windows\B -Crack For XP\patcher-Windows Validation Crack.exe
 Infected with: Virtool.8358
 
D:\# Aurel #\Programmes\Programs-Sender M-\Windows\B -Crack For XP\patcher-Windows Validation Crack.exe
 Disinfection failed
 
D:\# Aurel #\Programmes\Programs-Sender M-\Windows\B -Crack For XP\patcher-Windows Validation Crack.exe
 Deleted
 
D:\Fichier du C\Program Files\iMesh\iMesh5\LinksBar.exe
 Detected with: Adware.Generic.18759
 
D:\Fichier du C\Program Files\iMesh\iMesh5\LinksBar.exe
 Deleted
 
D:\Fichier du C\Program Files\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS
 Detected with: Adware.Mywebsearch.BC
 
D:\Fichier du C\Program Files\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS
 Deleted
 
D:\Fichier du C\Program Files\SearchRelevant\SearchRelevant.dll
 Detected with: Adware.Relevance.D
 
D:\Fichier du C\Program Files\SearchRelevant\SearchRelevant.dll
 Deleted
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000243.exe
 Detected with: Application.Joke.Justakiss.B
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000243.exe
 Disinfection failed
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000243.exe
 Deleted
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000245.exe
 Detected with: Adware.Generic.18759
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000245.exe
 Deleted
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000246.dll
 Detected with: Adware.Relevance.D
 
D:\System Volume Information\_restore{E8C86F3F-A641-47F5-96A8-15EE3402121F}\RP1\A0000246.dll
 Deleted
 
E:\LimeWire\l200.zip=>Setup.exe
 Detected with: Adware.PlayMp3z.A
 
E:\LimeWire\l200.zip=>Setup.exe
 Deleted
 
E:\LimeWire\l200.zip
 Updated

Aurélien · Answer

Voila :

Deckard's System Scanner v20071014.68
Run by Britschu on 2008-07-26 17:39:39
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Britschu.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:44, on 26/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Britschu\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Britschu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {469472AD-519D-4CB7-9AE9-EFCEAE80ABE1} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D46476C-0E22-4523-9C95-A2BFA6A9BC36} - C:\WINDOWS\system32\sendmajl.dll (file missing)
O2 - BHO: (no name) - {6B00B089-90EE-4028-8A58-A58293E7BD89} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {8C4BEE03-B27A-4F1A-A14A-82B6146987E1} - C:\WINDOWS\system32\icwphbkd.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D2021D1D-28BA-4E5E-B9CA-F9BB191CF1B1} - C:\WINDOWS\system32\SIntf16d.dll (file missing)
O2 - BHO: (no name) - {FE2EC72C-1794-4F8D-9F40-8C3E0B297F0B} - C:\WINDOWS\system32\kbddv32.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

ep44 · Answer

As tu fait le scan avec antivir en mode sans échec ?

ensuite 

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O2 - BHO: (no name) - {469472AD-519D-4CB7-9AE9-EFCEAE80ABE1} - (no file)  
O2 - BHO: (no name) - {5D46476C-0E22-4523-9C95-A2BFA6A9BC36} - C:\WINDOWS\system32\sendmajl.dll (file missing)  
O2 - BHO: (no name) - {6B00B089-90EE-4028-8A58-A58293E7BD89} - (no file)  
O2 - BHO: (no name) - {8C4BEE03-B27A-4F1A-A14A-82B6146987E1} - C:\WINDOWS\system32\icwphbkd.dll (file missing)  
O2 - BHO: (no name) - {D2021D1D-28BA-4E5E-B9CA-F9BB191CF1B1} - C:\WINDOWS\system32\SIntf16d.dll (file missing)  
O2 - BHO: (no name) - {FE2EC72C-1794-4F8D-9F40-8C3E0B297F0B} - C:\WINDOWS\system32\kbddv32.dll (file missing)  

Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked" 

répond pour le scan stp

aurelien · Answer

oui j'ai fait le scan antivir en mode sans echec (je crois qu'il n'avait rien trouvé)

je viens de faire "fix checked" pour les lignes que tu m'as dit. C'est pénible sa revient tjs ...

(merci bcp pour le temps que tu passes à m'aider !! )

ep44 · Answer

Bonsoir 

je ne comprends pas trop 

tu as fait un scan avec antivir en mode sans échec et il ne trouve rien 
mais tu toujours des alertes ??

Bon on essaye ça

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Avant de lancer le téléchargement 
Clique droit sur le lien et tu choisis "enregistrer la cible du lien sous"
et tu le renomme par outil

=> /!\déconnecte toi d'internet et ferme toutes tes applications./!\

=>/!\ désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,/!\

=> Double-clic sur outil,

=> /!\Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi./!\

=> Attends que combofix ait terminé, un rapport sera créé. 

=> réactive ton parefeu, ton antivirus, la garde de ton antispyware

=> copie/colle le rapport C:\ComboFix.txt 

=> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

aurelien · Answer

Oui et moi ce que je ne comprends pas c'est que le soit disant trojan que trouve antivir change à chaque démarrage de nom. Et je dois tjs mettre "access deny". Et c'est que au démarrage du pc que sa apparait. Et tant que je ne clique pas sur "access deny", je ne peux pas me connecter à internet. Voila le rapport combofix ComboFix 08-07-28.4 - Britschu 2008-07-29 8:52:23.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.261 [GMT 2:00] Endroit: C:\Documents and Settings\Britschu\Bureau\outil.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-29 )))))))))))))))))))))))))))))))))))) . 2008-07-26 11:39 . 2008-07-26 12:54 d-------- C:\WINDOWS\BDOSCAN8 2008-07-25 18:34 . 2008-07-25 18:34 d-------- C:\Deckard 2008-07-24 18:41 . 2008-07-24 18:41 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-24 18:41 . 2008-07-24 18:41 d-------- C:\Documents and Settings\Britschu\Application Data\Malwarebytes 2008-07-24 18:41 . 2008-07-24 18:41 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-24 18:41 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-24 18:41 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-23 19:41 . 2008-07-23 19:41 14,963,010 --a------ C:\upload_moi_AUREL.tar.gz 2008-07-23 19:33 . 2008-07-23 19:33 d-------- C:\Program Files\Trend Micro 2008-07-22 21:17 . 2008-07-22 21:17 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-07-22 19:48 . 2008-07-22 19:48 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-07-22 19:47 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-07-21 21:25 . 2008-07-25 19:58 d-------- C:\WINDOWS\system32\ZoneLabs 2008-07-21 21:25 . 2008-07-22 19:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-07-21 21:24 . 2008-07-25 19:58 d-------- C:\WINDOWS\Internet Logs 2008-07-21 20:22 . 2008-07-21 20:22 d-------- C:\Program Files\Windows Defender 2008-07-21 20:17 . 2008-07-21 20:17 d-------- C:\WINDOWS\Downloaded Installations 2008-07-21 20:17 . 2008-07-21 20:21 d-------- C:\Program Files\Microsoft AntiSpyware 2008-06-29 22:22 . 2008-06-29 22:22 d-------- C:\Documents and Settings\Britschu\Application Data\vlc . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-26 09:59 --------- d-----w C:\Program Files\WinAce 2008-07-03 17:21 500 -c-ha-w C:\Documents and Settings\Britschu\hpothb07.dat 2008-06-29 20:21 --------- d-----w C:\Program Files\VideoLAN 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-28 13:42 --------- d-----w C:\Documents and Settings\Britschu\Application Data\Ahead 2008-05-10 14:39 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-05-10 14:39 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2005-07-07 18:25 164 -c-ha-w C:\Documents and Settings\All Users\hpothb07.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:53 266497] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Popup-corn"="C:\Program Files\Popup-corn\Popup-corn.exe" [2003-03-11 23:50 139264] "Anvshell"="anvshell.exe" [2003-05-29 09:53 348160 C:\WINDOWS\anvshell.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ hp psc 2000 Series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-04-06 00:37:10 323646] hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= L3codecp.acm "vidc.xvid"= xvid.dll "VIDC.NSVI"= NSVIDEO.DLL [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit "TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"= R1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\DRIVERS\anvioctl.sys [2003-05-19 10:12] R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:55] S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 12:35] S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-15 20:44] S3 ZSMC302;PLEOMAX PWC-3800;C:\WINDOWS\system32\Drivers\usbvm302.sys [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31c6df95-12e8-11dd-8810-000ea66c8c7e}] \Shell\AutoRun\command - I:\InstallTomTomHOME.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{729d9284-4924-11dd-8869-000ea66c8c7e}] \Shell\AutoRun\command - I:\LaunchU3.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2005-09-10 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1116071516.job - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52] 2008-07-29 C:\WINDOWS\Tasks\Maintenance en 1 clic.job - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-03-03 10:42] 2008-07-29 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20] . - - - - ORPHANS REMOVED - - - - BHO-{6F464B00-334F-4E48-9EFB-9D2F6C42BD9F} - C:\WINDOWS\system32\dpcdll32.dll . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/ R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O16 -: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} - hxxp://express.foto.com/SFUploader/SpeedUploader.cab C:\WINDOWS\Downloaded Program Files\SpeedUploader.inf C:\WINDOWS\system32\unicows.dll C:\WINDOWS\Downloaded Program Files\SpeedUploader.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-29 08:53:51 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-29 8:54:34 ComboFix-quarantined-files.txt 2008-07-29 06:54:24 ComboFix2.txt 2008-02-13 19:30:28 Pre-Run: 4,178,120,704 octets libres Post-Run: 4,303,810,560 octets libres 129 --- E O F --- 2008-07-25 16:32:13

ep44 · Answer

Bonsoir 

rien pour combo 
as tu les alertes d'antivir a un moment bien précis ?
On passe un autres outils et si rien je demande de l'aide ;)


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
@+

aurelien · Answer

Oui j'ai les alertes tjs au meme moment, à savoir lorsque le pc s'allume. Il y a mes programmes qui se lancent automatiquement au démarrage (tel que popup-corn, antivir, msn, spybot). Et c'est à se moment la que le message d'antivir apparait avec à chaque démarrage un nom différent. Et tant que je ne clique pas sur "access deny" ou "mettre en quarantaine", je n'arrive pas à me connecter à internet. Dès que j'ai cliqué sur par exemple "access deny", je peux ouvrir mon msn ou ouvrir une page web.

Bon, je vais faire de suite tes dernieres instructions, à +

aurelien · Answer

voila : 

[b]SDFix: Version 1.210 [/b]
Run by Britschu on 31/07/2008 at 12:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Britschu\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-31 12:22:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Messenger"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"="C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe:*:Enabled:Nero Home"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 10 May 2006         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 22 Dec 2004        76,568 ..SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Wed 22 Dec 2004        16,384 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 20 Jan 2005        11,344 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Sat 14 May 2005     5,114,880 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL0005.tmp"
Fri 13 May 2005       889,856 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL0076.tmp"
Sat 14 May 2005     5,118,976 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL0356.tmp"
Sat 14 May 2005     5,115,392 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL0988.tmp"
Wed  1 Jun 2005       196,096 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL1251.tmp"
Fri 13 May 2005       134,656 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL1370.tmp"
Fri 13 May 2005       122,368 ...H. --- "C:\Documents and Settings\Britschu\Application Data\Microsoft\Word\~WRL2221.tmp"
Fri  9 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\download\BIT9.tmp"

[b]Finished![/b]





Remarque : lorsque le pc s'est redémarré et que SDfix tournait (et qu'il n'y avait aucune icone sur le bureau), le message d'antivir est apparu, et d'apres ce que je comprends ds le rapport, SDfix n'a rien trouvé...

ep44 · Answer

Bonsoir 

oui sdfix n'as rien trouvé :(

je te propose une chose vu que ton soucis ce fait au démarrage du PC 
fait Démarrer > Exécuter > tape msconfig > et va sous l'onglet Démarrage  > ensuite décoche un maximun de programmes sauf bien évidemment tes protections 

Redémarre le PC et vérifie que tu n'as plus d'alerte, si c'est le cas il faudrait les réactiver une par une en redémarrant à chaue fois pour trouver qui fait réagir Antivir.

@+

aurelien · Answer

:-(

j'ai commencé par tous les décochés (sauf Avira Antivirus), j'ai redémarré et toujours le message d'alerte...

Que faire, c'est plus que pénible ce truc.

(merci pour ta persévérance lol)

ep44 · Answer

Bonsoir 

pas de soucis je ne lache pas l'affaire 

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
@+

aurelien · Answer

Voila le rapport :

GenProc 2.009 [1] 02/08/2008 - Windows [XP] : Aucune infection caractéristique trouvée  

...

ep44 · Answer

Bonjour 

essaye pour voir de vider la quarantaine de Antivir 
ensuite si toujours idem essaye désinstallation/installation

aurelien · Answer

Bonjour,

j'ai vidé le dossier quarantaine. Ca n'a rien changé, tjs le message au redemarrage.

J'ai alors désinstallé Antivir puis réinstallé, et tjs le message d'alerte au redemarrage !
 
Grrrrrrrrrrr

ep44 · Answer

Bon je viens de reprendre tout les rapport et j'ai laissé passé des fichiers 


et je ne vois que ca qui pourrais nous géner 

C:\WINDOWS\system32\sendmajl.dll  
C:\WINDOWS\system32\icwphbkd.dll  
C:\WINDOWS\system32\SIntf16d.dll  
C:\WINDOWS\system32\kbddv32.dll  


vide ta poubelle et ensuite essaye de les supprimer manuellement sans la vider par la suite 
redémarre ton PC et refais une analyse avec antivir si possible en mode sans échec et poste le rapport stp 

@+

aurelien · Answer

J'ai fait une recherche manuel mais je ne trouve aucun de ses 4 fichiers dans system32...

ep44 · Answer

ok

Fait: Windows+e > Outils > Options des dossiers > Affichage > bouton radio "Afficher les fichiers et dossiers cachés"> décoche "Masquer les extensions de fichiers connus" > décoche "Masquer les fichiers protégés du Système" > Clique sur Appliquer à tous les dossiers > Appliquer et ok.
 ensuite recherche ces fichiers

aurelien · Answer

Ok j'ai suivi tes indications mais tjs pas de fichier. 

Remarque : Lorsque j'ai lancé la recherche, l'alerte Antivir est à nouveau apparu !

ep44 · Answer

Bonsoir 

ok 

Télécharge OTMoveIt (de OldTimer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\sendmajl.dll
C:\WINDOWS\system32\icwphbkd.dll
C:\WINDOWS\system32\SIntf16d.dll
C:\WINDOWS\system32\kbddv32.dll 
EmptyTemp

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de faire redémarrer le PC pour achever la suppression.

aurélien · Answer

File/Folder C:\WINDOWS\system32\sendmajl.dll not found.
File/Folder C:\WINDOWS\system32\icwphbkd.dll not found.
File/Folder C:\WINDOWS\system32\SIntf16d.dll not found.
File/Folder C:\WINDOWS\system32\kbddv32.dll not found.
< EmptyTemp  >
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF100.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF118.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF2E5C.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFEC5.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFEDE.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08062008_134102

Files moved on Reboot...
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF100.tmp not found!
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF118.tmp not found!
C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF2E5C.tmp moved successfully.
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFEC5.tmp not found!
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFEDE.tmp not found!

ep44 · Answer

Bonsoir 

fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite un nouveau rapport hijack stp
@+

aurélien · Answer

Voilou :

BitDefender Online Scanner
  
  
 
Scan report generated at: Thu, Aug 07, 2008 - 11:36:24
 
 
  
  
 
Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:52:02
 
Files
 235767
 
Folders
 5695
 
Boot Sectors
 5
 
Archives
 2447
 
Packed Files
 20101
 
  
  
 
Results
 
Identified Viruses 
 4
 
Infected Files 
 4
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 4
 
  
  
 
Engines Info
 
Virus Definitions
 1426479
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 16
 
Archive plugins
 43
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 5
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Detected with: Application.Gator.Gain.Claria.AC
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Disinfection failed
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)=>Gain_Trickler.exe
 Deleted
 
D:\# Aurel #\Programmes\# Video #\Divx\Codec DivX 5.exe=>(VISE Installer o)
 Update failed
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0046
 Detected with: Adware.Generic.18759
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0046
 Deleted
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe
 Update failed
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0048
 Detected with: Adware.Myway.J
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe=>wise0048
 Deleted
 
D:\# Aurel #\Programmes\I mesh\iMeshV5.exe
 Update failed
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)=>(Instyler Module 1)
 Infected with: Trojan.Mirchack.A
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)=>(Instyler Module 1)
 Deleted
 
D:\# Aurel #\Programmes\Mirc\install_chat.exe=>(Instyler o)
 Update failed

ep44 · Answer

Bonsoir

Il faudrait maintenant un nouveau rapport HijackThis 

@+

aurélien · Answer

Voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:46:31, on 08/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Popup-corn\Popup-corn.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {082F7C58-E260-4649-8025-406F021C0777} - C:\WINDOWS\system32\spxcojns.dll (file missing)
O2 - BHO: (no name) - {0D9D019A-9378-4CC3-85A5-AFF61B520C9C} - C:\WINDOWS\system32\avjcap32.dll (file missing)
O2 - BHO: (no name) - {101EF3E2-A88A-4FC0-A274-A129F29C9C76} - (no file)
O2 - BHO: (no name) - {1CBDDF4D-D5F0-4EDD-88B2-716B6DD8CB84} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {306BDF35-F598-4957-8A85-1FD25B675D10} - (no file)
O2 - BHO: (no name) - {37803460-2910-4358-9902-BE261F95A1EE} - C:\WINDOWS\system32\jet50032.dll (file missing)
O2 - BHO: (no name) - {3AF47668-69FC-470D-8607-7605D3D0AA83} - (no file)
O2 - BHO: (no name) - {41F5C37F-C23C-4952-841A-030D4456A40A} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D20B174-B586-4B9A-89B0-FF4A05BA23B3} - (no file)
O2 - BHO: (no name) - {6F464B00-334F-4E48-9EFB-9D2F6C42BD9F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {86F970ED-08DC-4117-887C-A5AD4683E7BD} - C:\WINDOWS\system32\catssvut.dll (file missing)
O2 - BHO: (no name) - {903AD7BF-49C8-4285-AD1D-B04A6BA9E58E} - C:\WINDOWS\system32
tsdfxts.dll (file missing)
O2 - BHO: (no name) - {94B96282-F27A-4AE6-B47C-D59FDC841F4F} - (no file)
O2 - BHO: (no name) - {A10012DA-866D-4E0A-9032-EDCE6B9C29B5} - (no file)
O2 - BHO: (no name) - {B1453D58-0D2E-4640-A7F8-C37E90FEB050} - (no file)
O2 - BHO: (no name) - {B9009838-3B7D-430D-9C7A-E27BE438B45C} - C:\WINDOWS\system32\browserd.dll (file missing)
O2 - BHO: (no name) - {C090AB86-1DE3-4A8D-83E5-32DF30BEE6F9} - C:\WINDOWS\system32\pjlmon32.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {CB2E5E44-DC44-4B4E-AFA2-48090224FDE0} - (no file)
O2 - BHO: (no name) - {D7150B83-BF7D-4846-864C-3EBB8E5E05EB} - (no file)
O2 - BHO: (no name) - {E60A185C-9CE3-473D-BD5B-433B06076365} - C:\WINDOWS\system32\d3dx_28.dll (file missing)
O2 - BHO: (no name) - {FBFB8F53-B406-4349-B6D1-48A7386A41E2} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

aurélien · Answer

Bon ep44...

je crois que j'ai fini de t'embeter ! Je viens de trouver sur un forum en anglais, une personne qui a eu le meme soucis que moi et qui l'a résolu en installant Avast puis de nouveau Avira Antivir. J'ai essayé, et sa a effectivement fonctionné !

Avast m'a fait mettre en quarantaine le fichier suivant : 
[url=http://pix.nofrag.com/0/5/2/1efb3ac9a154915e482820f41f40a.html][img]http://pix.nofrag.com/0/5/2/1efb3ac9a154915e482820f41f40a.jpg[/img][/url]

J'espere que c'etait bien sa.

Si jamais, voila le site ou j'ai trouvé l'info :
https://support.avira.com/hc/en-us/community/topics 

Dois je laissé se fichier en quarantaine ou faut il que je le supprime ? Si j'ai d'autre manip à faire pour etre sur que le virus a été mis en quarantaine n'esite pas à me dire

ep44 · Answer

Bonsoir ce qui a été trouvé ce trouve dans ta restauration.

Pour la manip de avast antivir je ne suis pas convaincu mais le principal reste le résultat ;)

Si tu n'avais pas fait ceci nous aurions quand même virer ce point de restauration car je le fait faire a chaque fin de désinfection 

Sinon pour le reste 

 Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O2 - BHO: (no name) - {082F7C58-E260-4649-8025-406F021C0777} - C:\WINDOWS\system32\spxcojns.dll (file missing) 
O2 - BHO: (no name) - {0D9D019A-9378-4CC3-85A5-AFF61B520C9C} - C:\WINDOWS\system32\avjcap32.dll (file missing) 
O2 - BHO: (no name) - {101EF3E2-A88A-4FC0-A274-A129F29C9C76} - (no file) 
O2 - BHO: (no name) - {1CBDDF4D-D5F0-4EDD-88B2-716B6DD8CB84} - (no file) 
O2 - BHO: (no name) - {306BDF35-F598-4957-8A85-1FD25B675D10} - (no file) 
O2 - BHO: (no name) - {37803460-2910-4358-9902-BE261F95A1EE} - C:\WINDOWS\system32\jet50032.dll (file missing) 
O2 - BHO: (no name) - {3AF47668-69FC-470D-8607-7605D3D0AA83} - (no file) 
O2 - BHO: (no name) - {41F5C37F-C23C-4952-841A-030D4456A40A} - (no file) 
O2 - BHO: (no name) - {5D20B174-B586-4B9A-89B0-FF4A05BA23B3} - (no file) 
O2 - BHO: (no name) - {6F464B00-334F-4E48-9EFB-9D2F6C42BD9F} - (no file) 
O2 - BHO: (no name) - {86F970ED-08DC-4117-887C-A5AD4683E7BD} - C:\WINDOWS\system32\catssvut.dll (file missing) 
O2 - BHO: (no name) - {903AD7BF-49C8-4285-AD1D-B04A6BA9E58E} - C:\WINDOWS\system32
tsdfxts.dll (file missing) 
O2 - BHO: (no name) - {94B96282-F27A-4AE6-B47C-D59FDC841F4F} - (no file) 
O2 - BHO: (no name) - {A10012DA-866D-4E0A-9032-EDCE6B9C29B5} - (no file) 
O2 - BHO: (no name) - {B1453D58-0D2E-4640-A7F8-C37E90FEB050} - (no file) 
O2 - BHO: (no name) - {B9009838-3B7D-430D-9C7A-E27BE438B45C} - C:\WINDOWS\system32\browserd.dll (file missing) 
O2 - BHO: (no name) - {C090AB86-1DE3-4A8D-83E5-32DF30BEE6F9} - C:\WINDOWS\system32\pjlmon32.dll (file missing) 
O2 - BHO: (no name) - {CB2E5E44-DC44-4B4E-AFA2-48090224FDE0} - (no file) 
O2 - BHO: (no name) - {D7150B83-BF7D-4846-864C-3EBB8E5E05EB} - (no file) 
O2 - BHO: (no name) - {E60A185C-9CE3-473D-BD5B-433B06076365} - C:\WINDOWS\system32\d3dx_28.dll (file missing) 
O2 - BHO: (no name) - {FBFB8F53-B406-4349-B6D1-48A7386A41E2} - (no file) 
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab     
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab     


Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked" 

ensuite redémarre ton PC et dit moi si tout va bien si oui je te donne l'étape finale 

@+

aurélien · Answer

J'y comprends plus rien...

j'ai de nouveau le message d'alerte. Pourtant pendant toute uns journée je ne l'ai plus eu...

J'ai fait "fix checked" sur les lignes que tu as cité, ca c'est ok. J'en avais meme plus avec "no name / file missing".

Petite question : 
Qu'est ce que wgatray ? car lors du scan d'avast, j'ai du le supprimer. tout à l'heure, j'ai voulu faire une mise à jour et sa n'a pas marché car sa m'a demandé de vérifier si j'ai une version officiel de wndows XP.

ep44 · Answer

Bonjour 

pour wgatray 
http://www.commentcamarche.net/processus/wgatray exe.php3

on continu la recherche 
fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite un nouveau rapport hijack stp
@+

aurélien · Answer

BitDefender Online Scanner - Real Time Virus Report  
 
Generated at: Sat, Aug 09, 2008 - 13:57:42

--------------------------------------------------------------------------------   
 
Scan Info
  
  
 
Scanned Files
 258553
 
Infected Files
 4
  
  
 
Virus Detected  
 
Adware.Myway.J
 1
 
Trojan.Mirchack.A
 1
 
Adware.Generic.18759
 1
 
Application.Gator.Gain.Claria.AC 1
  

--------------------------------------------------------------------------------  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. 
 

http://pix.nofrag.com/7/2/e/000758374f0b020c1d8d168d84d4a.html

http://pix.nofrag.com/4/4/e/4ffc295d762244e4982796e7ad5e4.html

ep44 · Answer

comment ce comporte ton PC ?

aurélien · Answer

toujours le message d'alerte au demarrage... :-(

ep44 · Answer

détails moi ce message stp

aurelien · Answer

eh ben c tjs pareil, comme il y a 2 semaines :

En voici qques unes :

http://pix.nofrag.com/3/a/c/9aaa760d82318b71a4a1fcfa0273a.html
http://pix.nofrag.com/6/e/4/6b44dcfdd9ff797b52840eeef324d.html
http://pix.nofrag.com/1/a/c/f412e8c22efbd000c36e93e2a3400.html

Le nom du fichier .dll change tjs mais le nom du trojan rest tjs le meme (small.xvz)

ep44 · Answer

Bonsoir on relance deux scan pour analyse 
si je ne trouve rien je demande de l'aide 

Relance stp DSS ensuite daighelp

aurelien · Answer

Voila pour DSS :

Deckard's System Scanner v20071014.68
Run by Britschu on 2008-08-11 18:01:22
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Britschu.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:28, on 11/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Popup-corn\Popup-corn.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Britschu\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Britschu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20ED4D1F-47EB-4BBF-BA50-2999A86DBCBD} - C:\WINDOWS\system32asppp32.dll (file missing)
O2 - BHO: (no name) - {24602A70-4815-4183-A2D2-06641AC8A5BB} - C:\WINDOWS\system32\comcat32.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3E86E8FD-0411-4D2D-91D9-37CA6016D17C} - C:\WINDOWS\system32\hlink32.dll (file missing)
O2 - BHO: (no name) - {5E4117FF-9764-4761-A3F6-50465CFB9C2F} - C:\WINDOWS\system32\uniplatd.dll (file missing)
O2 - BHO: (no name) - {647BB608-B9D5-49C2-A900-55AC8FD17539} - C:\WINDOWS\system32\cmutil32.dll (file missing)
O2 - BHO: (no name) - {6C42F41F-7067-4333-BC0C-C3DA5CC332EB} - C:\WINDOWS\system32\iyuv_32d.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {917921FC-E120-4EF5-A43C-477C46736F51} - C:\WINDOWS\system32\sfcurity.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

aurelien · Answer

DiagHelp version v1.4 - http://www.malekal.com
excute le 11/08/2008 à 18:12:42,37

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->11/08/2008 18:12:15
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->11/08/2008 18:12:08
C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->11/08/2008 18:11:23
C:\WINDOWS\prefetch\WINACE.EXE-12732281.pf -->11/08/2008 18:09:54
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->11/08/2008 18:09:40
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->11/08/2008 18:08:48
C:\WINDOWS\prefetch\NOTEPAD.EXE-189578DA.pf -->11/08/2008 18:02:38
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->11/08/2008 18:02:27
C:\WINDOWS\prefetch\FINDSTR.EXE-0CA6274B.pf -->11/08/2008 18:02:24
C:\WINDOWS\prefetch\CSCRIPT.EXE-1C26180C.pf -->11/08/2008 18:02:23

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->23/07/2008 20:09:44
C:\WINDOWS\System32\drivers\mbam.sys -->23/07/2008 20:09:38
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->19/07/2008 16:37:42
C:\WINDOWS\System32\drivers\aswmon2.sys -->19/07/2008 16:37:21
C:\WINDOWS\System32\drivers\aswSP.sys -->19/07/2008 16:35:18
C:\WINDOWS\System32\drivers\aswRdr.sys -->19/07/2008 16:33:42
C:\WINDOWS\System32\drivers\aswTdi.sys -->19/07/2008 16:32:36

C:\WINDOWS\System32\wpa.dbl -->09/08/2008 11:13:29
C:\WINDOWS\System32\CONFIG.NT -->08/08/2008 13:40:57
C:\WINDOWS\System32\zllictbl.dat -->22/07/2008 19:48:59
C:\WINDOWS\System32\aswBoot.exe -->19/07/2008 16:43:08
C:\WINDOWS\System32\AvastSS.scr -->19/07/2008 16:30:53
C:\WINDOWS\System32\MRT.exe -->25/06/2008 18:15:46
C:\WINDOWS\System32\mswsock.dll -->20/06/2008 19:41:06
C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 19:41:06
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->11/05/2008 11:19:49
C:\WINDOWS\System32\rmoc3260.dll -->10/05/2008 16:39:54
C:\WINDOWS\System32\pndx5032.dll -->10/05/2008 16:39:47
C:\WINDOWS\System32\pndx5016.dll -->10/05/2008 16:39:47
C:\WINDOWS\System32\pncrt.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\msvcr71.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\msvcp71.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\FNTCACHE.DAT -->10/05/2008 12:21:17
C:\WINDOWS\System32\TZLog.log -->10/05/2008 12:07:44
C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36
C:\WINDOWS\System32\wininet.dll -->21/04/2008 09:02:40
C:\WINDOWS\System32\urlmon.dll -->21/04/2008 09:02:39
C:\WINDOWS\System32\shlwapi.dll -->21/04/2008 09:02:38
C:\WINDOWS\System32\shdocvw.dll -->21/04/2008 09:02:37
C:\WINDOWS\System32\pngfilt.dll -->21/04/2008 09:02:35
C:\WINDOWS\System32\mstime.dll -->21/04/2008 09:02:35
C:\WINDOWS\System32\msrating.dll -->21/04/2008 09:02:34

C:\WINDOWS\WindowsUpdate.log -->11/08/2008 17:59:52
C:\WINDOWS\0.log -->11/08/2008 17:58:14
C:\WINDOWS\wiadebug.log -->11/08/2008 17:58:13
C:\WINDOWS\wiaservc.log -->11/08/2008 17:58:04
C:\WINDOWS\bootstat.dat -->11/08/2008 17:57:53
C:\WINDOWS\SchedLgU.Txt -->11/08/2008 15:13:07
C:\WINDOWS\WgaNotify.log -->09/08/2008 11:06:40
C:\WINDOWS\setupapi.log -->09/08/2008 11:04:43
C:\WINDOWS\setuperr.log -->09/08/2008 11:04:25
C:\WINDOWS\setupact.log -->09/08/2008 11:04:25
C:\WINDOWS\wmsetup.log -->06/08/2008 20:12:01
C:\WINDOWS\win.ini -->01/08/2008 11:14:53
C:\WINDOWS\system.ini -->01/08/2008 11:14:53
C:\WINDOWS\ntbtlog.txt -->31/07/2008 12:16:10
C:\WINDOWS\NeroDigital.ini -->29/07/2008 20:47:06

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1512
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x5f800000 0x16000 1.01.1593.0000 C:\PROGRA~1\WINDOW~4\MpShHook.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10000000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x00b70000 0x19000 2.10.0003.0002 C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL
0x024d0000 0x56000 7.10.3052.0004 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCP71.dll
0x00d60000 0x32000 2.05.0001.0000 C:\Program Files\WinAce\arcext.dll
0x02530000 0xdc000 2.06.0000.0000 C:\Program Files\WinAce\acev2.dll
0x00c30000 0x9000 2.00.0000.0004 C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
0x00d30000 0x12000 7.00.0000.0015 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x02810000 0x1e2000 2.10.0001.0001 C:\Program Files\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero CoverDesigner\MFC71.DLL
0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
0x64f00000 0x12000 4.08.1227.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x011c0000 0x13000 4.00.0000.0047 C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll
0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll
0x02b40000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 640
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x012a0000 0x32000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\system32

04/08/2004 00:54 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 3 682 189 312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\system32

02/05/2003 09:19 1 323 008 dmcpl.exe
1 fichier(s) 1 323 008 octets
0 Rép(s) 3 682 189 312 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\Downloaded Program Files

09/08/2008 11:24 <REP> .
09/08/2008 11:24 <REP> ..
09/01/2008 15:01 32 bdcore.dll
09/01/2008 15:01 118 784 bdupd.dll
09/05/2005 18:17 65 desktop.ini
09/05/2005 09:54 539 EPUWALcontrol.inf
23/03/2007 12:17 1 292 erma.inf
10/04/2000 17:12 1 765 fhg.inf
09/01/2008 15:01 53 248 ipsupd.dll
14/03/2007 04:02 1 055 jinstall-6u1.inf
08/08/2006 11:45 576 kavwebscan.inf
26/02/2008 15:42 7 724 lang.ini
09/01/2008 15:01 32 libfn.dll
21/01/2008 17:43 130 live.ini
07/02/2008 14:06 1 248 oscan8.inf
26/02/2008 15:59 487 424 oscan82.ocx
09/10/2003 10:32 144 QTPlugin.inf
09/01/2008 15:01 6 828 scanoptions.tsi
27/03/2006 13:00 5 019 swflash.inf
30/07/2007 19:24 293 wuweb.inf
18 fichier(s) 686 198 octets

Total des fichiers listés :
18 fichier(s) 686 198 octets
2 Rép(s) 3 682 181 120 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 18:13:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
128 - avgnt.exe
156 - ashDisp.exe
176 - msnmsgr.exe
248 - cmd.exe
272 - hpobnz08.exe
508 - hpoevm08.exe
616 - csrss.exe
640 - winlogon.exe
684 - services.exe
696 - lsass.exe
760 - avguard.exe
852 - svchost.exe
928 - svchost.exe
1020 - MsMpEng.exe
1064 - svchost.exe
1152 - svchost.exe
1332 - svchost.exe
1512 - explorer.exe
1632 - ashServ.exe
1908 - spoolsv.exe
2508 - alg.exe
3528 - usnsvc.exe
3900 - IEXPLORE.EXE

Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F8A36000 - \WINDOWS\system32\KDCOM.DLL
F8946000 - \WINDOWS\system32\BOOTVID.dll
F84E6000 - ACPI.sys
F8A38000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F84D5000 - pci.sys
F8536000 - isapnp.sys
F8AFE000 - pciide.sys
F87B6000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F8546000 - MountMgr.sys
F84B6000 - ftdisk.sys
F8A3A000 - dmload.sys
F8490000 - dmio.sys
F87BE000 - PartMgr.sys
F8556000 - VolSnap.sys
F8478000 - atapi.sys
F8566000 - disk.sys
F8576000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8458000 - fltMgr.sys
F8446000 - sr.sys
F842F000 - KSecDD.sys
F83A2000 - Ntfs.sys
F8375000 - NDIS.sys
F894A000 - nv_agp.sys
F835A000 - Mup.sys
F8716000 - \SystemRoot\system32\DRIVERS\amdk7.sys
F886E000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F82CE000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F8876000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F82BA000 - \SystemRoot\system32\DRIVERS\NVENET.sys
F8A02000 - \SystemRoot\system32\drivers\nvax.sys
F887E000 - \SystemRoot\system32\drivers\pfc.sys
F8726000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8736000 - \SystemRoot\system32\DRIVERS\redbook.sys
F8297000 - \SystemRoot\system32\DRIVERS\ks.sys
F8746000 - \SystemRoot\system32\DRIVERS\imapi.sys
F8165000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F8151000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F8886000 - \SystemRoot\system32\DRIVERS\fdc.sys
F8140000 - \SystemRoot\system32\DRIVERS\serial.sys
F8A0E000 - \SystemRoot\system32\DRIVERS\serenum.sys
F812C000 - \SystemRoot\system32\DRIVERS\parport.sys
F8756000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F888E000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8896000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F8B03000 - \SystemRoot\system32\drivers\msmpu401.sys
F8108000 - \SystemRoot\system32\drivers\portcls.sys
F8766000 - \SystemRoot\system32\drivers\drmk.sys
F8A12000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F8B05000 - \SystemRoot\system32\DRIVERS\audstub.sys
F8776000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F8A16000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F80F1000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8786000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8796000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F889E000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F80E0000 - \SystemRoot\system32\DRIVERS\psched.sys
F87A6000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F88AE000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F88B6000 - \SystemRoot\system32\DRIVERS\raspti.sys
F805C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F85A6000 - \SystemRoot\system32\DRIVERS\termdd.sys
F8A52000 - \SystemRoot\system32\DRIVERS\swenum.sys
F800B000 - \SystemRoot\system32\DRIVERS\update.sys
F8A32000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F85B6000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8A54000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F85E6000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7E05000 - \SystemRoot\system32\drivers\nvapu.sys
F7D3C000 - \SystemRoot\system32\drivers\nvmcp.sys
F85F6000 - \SystemRoot\system32\drivers\nvarm.sys
F88C6000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F8A70000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B95000 - \SystemRoot\System32\Drivers\Null.SYS
F8A72000 - \SystemRoot\System32\Drivers\Beep.SYS
F88DE000 - \SystemRoot\System32\drivers\vga.sys
F8A74000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A76000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F88E6000 - \SystemRoot\System32\Drivers\Msfs.SYS
F88EE000 - \SystemRoot\System32\Drivers\Npfs.SYS
F89D6000 - \SystemRoot\system32\DRIVERS\rasacd.sys
EEBF9000 - \SystemRoot\system32\DRIVERS\ipsec.sys
EEBA1000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F8616000 - \SystemRoot\System32\Drivers\aswTdi.SYS
EEB79000 - \SystemRoot\system32\DRIVERS\netbt.sys
EEB57000 - \SystemRoot\System32\drivers\afd.sys
F8626000 - \SystemRoot\system32\DRIVERS\netbios.sys
EEB2A000 - \SystemRoot\system32\DRIVERS\anvioctl.sys
F88F6000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
EDAFF000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F8BA9000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS
EDA90000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8636000 - \SystemRoot\System32\Drivers\Fips.SYS
EDA6F000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F8656000 - \SystemRoot\system32\DRIVERS\wanarp.sys
EDA21000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F8A7A000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
ED9DF000 - \SystemRoot\System32\Drivers\aswSP.SYS
F8906000 - \SystemRoot\system32\DRIVERS\asuskbnt.sys
F890E000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F8706000 - \SystemRoot\System32\Drivers\Cdfs.SYS
ED8BA000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A9C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F8309000 - \SystemRoot\System32\drivers\Dxapi.sys
F8806000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F8C41000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
BF0E1000 - \SystemRoot\System32\ANV4DISP.DLL
BF3EA000 - \SystemRoot\System32\ANVMINI.DLL
F8816000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
ED605000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
ED333000 - \SystemRoot\System32\Drivers\aswMon2.SYS
ED0EE000 - \SystemRoot\system32\drivers\wdmaud.sys
ED213000 - \SystemRoot\system32\drivers\sysaudio.sys
ED09F000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F8AF4000 - \SystemRoot\System32\Drivers\ParVdm.SYS
ECCAA000 - \SystemRoot\system32\DRIVERS\srv.sys
ECBA6000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
EC90D000 - \SystemRoot\System32\Drivers\HTTP.sys
F8B4E000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 123

Liste des programmes installes

Adobe Acrobat 5.0
Adobe Flash Player ActiveX
ASUS Display Drivers
Autodesk DWF Viewer
avast! Antivirus
Avira AntiVir Personal - Free Antivirus
BayGenie eBay Auction Sniper Free Edition 3.1.3.0
BayGenie eBay Auction Sniper Pro Edition 3.1.3.0
CCleaner (remove only)
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
dBpowerAMP Music Converter
dBpowerAMP WMA V8 Codec
DivX Content Uploader
DivX Player
EZface ActiveX 207
Free - Kit de connexion
HijackThis 2.0.2
hp psc 2170 series
Intel(R) Integrated Performance Primitives RTI 4.0
Java(TM) 6 Update 5
Kaspersky On-line Scanner
Kaspersky Online Scanner
LimeWire 4.12.6
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office 2000 Premium
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB896688)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899589)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911280)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944338)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950759)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951376)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
MSXML 4.0 SP2 (KB936181)
Nero 7 Premium
neroxml
NVIDIA Windows 2000/XP Display Drivers
PartitionMagic
PDFCreator
PDFCreator Toolbar
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 2170 series
Pilotes NVIDIA nForce pour Windows 2000/XP
Popup-corn (désinstallation)
PowerQuest PartitionMagic 8.0
RealPlayer
Remove DivX Codec
TomTom HOME
TuneUp Utilities 2008
USB Storage Driver
VC_MergeModuleToMSI
VideoLAN VLC media player 0.8.4a
WebFldrs XP
WinAce Archiver
Winamp3 (remove only)
Windows Defender
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
XviD Video Codec 01082002-1 (Koepi's build with EPSZ ME)

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files

08/08/2008 13:40 <REP> .
08/08/2008 13:40 <REP> ..
12/05/2005 17:05 <REP> Adobe
08/08/2008 13:40 <REP> Alwil Software
21/03/2006 21:37 <REP> Autodesk
02/08/2008 17:18 <REP> Avira
18/05/2008 17:10 <REP> BayGenie
22/08/2005 17:45 <REP> DivX
28/01/2007 17:27 <REP> EZFace
29/07/2008 08:53 <REP> Fichiers communs
22/08/2005 17:44 <REP> Free(3).fr
04/02/2006 13:38 <REP> Free.fr
18/05/2008 11:43 <REP> Google
01/07/2007 16:38 <REP> Hewlett-Packard
01/01/2006 16:45 <REP> Illustrate
11/06/2008 14:30 <REP> Internet Explorer
11/05/2008 11:19 <REP> Java
21/01/2007 20:39 <REP> LimeWire
24/07/2008 18:41 <REP> Malwarebytes' Anti-Malware
09/05/2005 19:58 <REP> Messenger
21/07/2008 20:21 <REP> Microsoft AntiSpyware
09/05/2005 19:17 <REP> microsoft frontpage
22/03/2008 19:50 <REP> Microsoft Office
09/05/2005 18:16 <REP> Movie Maker
09/05/2005 18:14 <REP> MSN
09/05/2005 18:14 <REP> MSN Gaming Zone
14/09/2007 18:15 <REP> MSN Messenger
10/05/2008 13:01 <REP> MSXML 4.0
10/05/2008 12:09 <REP> Nero
09/05/2005 18:16 <REP> NetMeeting
09/05/2005 18:15 <REP> Online Services
10/05/2008 12:08 <REP> Outlook Express
24/01/2007 14:03 <REP> PDFCreator Toolbar
17/12/2006 14:45 <REP> Popup-corn
10/05/2008 09:55 <REP> PowerQuest
10/05/2008 16:39 <REP> Real
09/05/2005 18:17 <REP> Services en ligne
09/08/2008 11:43 <REP> Spybot - Search & Destroy
25/04/2008 22:19 <REP> TomTom DesktopSuite
25/04/2008 22:43 <REP> TomTom HOME 2
23/07/2008 19:33 <REP> Trend Micro
10/05/2008 09:20 <REP> TuneUp Utilities 2008
29/06/2008 22:21 <REP> VideoLAN
26/07/2008 11:59 <REP> WinAce
16/05/2005 12:48 <REP> Winamp3
21/07/2008 20:22 <REP> Windows Defender
10/05/2008 12:09 <REP> Windows Media Player
09/05/2005 18:14 <REP> Windows NT
09/05/2005 18:18 <REP> xerox
09/05/2005 19:40 <REP> XviD
0 fichier(s) 0 octets
50 Rép(s) 3 683 360 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files\fichiers communs

29/07/2008 08:53 <REP> .
29/07/2008 08:53 <REP> ..
12/05/2005 17:06 <REP> Adobe
10/05/2008 12:11 <REP> Ahead
27/05/2006 10:00 <REP> Autodesk Shared
27/05/2006 10:00 <REP> Designer
11/05/2005 16:28 <REP> Hewlett-Packard
11/09/2006 19:19 <REP> InstallShield
11/05/2008 11:18 <REP> Java
22/03/2008 19:50 <REP> Microsoft Shared
09/05/2005 18:16 <REP> MSSoap
09/05/2005 20:03 <REP> ODBC
10/05/2008 16:39 <REP> Real
09/05/2005 18:16 <REP> Services
09/05/2005 20:03 <REP> SpeechEngines
10/05/2008 12:08 <REP> System
15/03/2008 20:42 <REP> Wise Installation Wizard
10/05/2008 16:39 <REP> xing shared
0 fichier(s) 0 octets
18 Rép(s) 3 683 356 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

09/05/2005 18:23 <REP> .
09/05/2005 18:23 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
18/03/1999 07:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 3 682 832 384 octets libres

c:\Documents and Settings\Britschu\.limewire\.NetworkShare\LimeWireWin4.16.6.exe
c:\Documents and Settings\Britschu\Bureau\antivir_workstation_winu_en_h.exe
c:\Documents and Settings\Britschu\Bureau\dss.exe
c:\Documents and Settings\Britschu\Bureau\HJTInstall.exe
c:\Documents and Settings\Britschu\Bureau\mbam-setup.exe
c:\Documents and Settings\Britschu\Bureau\OTMoveIt2.exe
c:\Documents and Settings\Britschu\Bureau\outil.exe
c:\Documents and Settings\Britschu\Bureau\RealPlayer11GOLD_fr.exe
c:\Documents and Settings\Britschu\Bureau\SDFix.exe
c:\Documents and Settings\Britschu\Bureau\setupfre.exe
c:\Documents and Settings\Britschu\Bureau\zlsSetup_70_462_000_fr.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Britschu\Bureau\GenProc\GenProc\outil\sed-3.59.exe
c:\Documents and Settings\Britschu\Bureau\GenProc\GenProc\outil\swreg.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\catchme.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\ERUNT.EXE
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\FixPath.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\grep.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\isadmin.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\moveex.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\procs.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\psservice.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\sed.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\shutdown.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\vfind.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\WINMSG.EXE
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\regedit.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Default\MpEngine.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{91583DFB-94DB-43F1-9323-A2E443BE0164}\mpengine.dll
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll
c:\Documents and Settings\Britschu\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Britschu\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_AUREL.tar.gz a l'adresse http://upload.malekal.com

ep44 · Answer

Bonsoir 

ok je viens de voir autre chose :)

Pour commencer supprime avast de ton pc via ce logiciel de désinstallation 
https://www.avast.com/fr-fr/uninstall-utility

Supprime aussi toutes traces de limewire  <=  source d'infection 

Relance ensuite HijackThis et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O2 - BHO: (no name) - {20ED4D1F-47EB-4BBF-BA50-2999A86DBCBD} - C:\WINDOWS\system32\rasppp32.dll (file missing)  
O2 - BHO: (no name) - {24602A70-4815-4183-A2D2-06641AC8A5BB} - C:\WINDOWS\system32\comcat32.dll (file missing)  
O2 - BHO: (no name) - {3E86E8FD-0411-4D2D-91D9-37CA6016D17C} - C:\WINDOWS\system32\hlink32.dll (file missing)  
O2 - BHO: (no name) - {5E4117FF-9764-4761-A3F6-50465CFB9C2F} - C:\WINDOWS\system32\uniplatd.dll (file missing)  
O2 - BHO: (no name) - {647BB608-B9D5-49C2-A900-55AC8FD17539} - C:\WINDOWS\system32\cmutil32.dll (file missing)  
O2 - BHO: (no name) - {6C42F41F-7067-4333-BC0C-C3DA5CC332EB} - C:\WINDOWS\system32\iyuv_32d.dll (file missing)  
O2 - BHO: (no name) - {917921FC-E120-4EF5-A43C-477C46736F51} - C:\WINDOWS\system32\sfcurity.dll (file missing)  

Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked" 

 
ensuite pour être sur 

Télécharge OTMoveIt (de OldTimer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\rasppp32.dll  
C:\WINDOWS\system32\comcat32.dll  
C:\WINDOWS\system32\hlink32.dll  
C:\WINDOWS\system32\uniplatd.dll  
C:\WINDOWS\system32\cmutil32.dll  
C:\WINDOWS\system32\iyuv_32d.dll  
C:\WINDOWS\system32\sfcurity.dll  
EmptyTemp

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de faire redémarrer le PC pour achever la suppression. 


ensuite va sur ce site et fait analyser ceci 
C:\WINDOWS\fdsv.exe 
si le résultat ne donne rien essaye de le déplacer dans ta quarantaine pour le neutraliser 
nous pourrons a tout moment le rapatrier 



ensuite nous allons supprimer tout les outils utiliser 

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://pc-system.fr/

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau


Reposte ensuite un nouveau DSS et diaghelp stp

@+

aurelien · Answer

Ok voila le premier rapport de OTmoveIT

File/Folder C:\WINDOWS\system32\rasppp32.dll not found.
File/Folder C:\WINDOWS\system32\comcat32.dll not found.
File/Folder C:\WINDOWS\system32\hlink32.dll not found.
File/Folder C:\WINDOWS\system32\uniplatd.dll not found.
File/Folder C:\WINDOWS\system32\cmutil32.dll not found.
File/Folder C:\WINDOWS\system32\iyuv_32d.dll not found.
File/Folder C:\WINDOWS\system32\sfcurity.dll not found.
< EmptyTemp  >
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF6C0B.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFA3E3.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFA401.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFAE24.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFAE36.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08122008_215351

Files moved on Reboot...
C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DF6C0B.tmp moved successfully.
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFA3E3.tmp not found!
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFA401.tmp not found!
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFAE24.tmp not found!
File C:\DOCUME~1\Britschu\LOCALS~1\Temp\~DFAE36.tmp not found!





Sur quel site dois je aller pour analyser le fichier que tu m'as (l'adresse ne figure nul part je crois) ? Merci

PS : depuis que j'ai desinstaller avast, j'ai plusieurs fois le trojan wgatray qui est detecté (voir printscreen ci dessous)

[url=http://pix.nofrag.com/a/d/b/af9ae324ba483ea37e6e77a72902d.html][img]http://pix.nofrag.com/a/d/b/af9ae324ba483ea37e6e77a72902d.jpg/img/url

ep44 · Answer

Bonsoir 


pour le lien oui désolé je l'ai zappé 
https://www.virustotal.com/gui/

ensuite pour avast il fallait absolument le virer car conflit entre deux antivirus 
fait le reste et tient moi au courant 

merci

aurelien · Answer

Voila pour le ficher analysé :

MD5: 9fdeb67d8ed933aa868bae20239fb674 
First received: 2008.05.26 19:53:08 (CET) 
Date 2008.08.13 17:58:55 (CET) [<1D] 
Résultats 0/35 
Permalink: analisis/3d1aa3ff1031c0b6a31eacbef8442484 

je fais la suite de suite

aurelien · Answer

Ok j'ai ajouté le fichier .exe en quarantaine.

J'ai supprimé les outils utilisés via ton logiciel (mais mon bureau n'a pas disparu)

Je voulais relancer diaghelp et dss comme demandé mais ils ont été supprimés... Peux tu me redire ou les telecharger stp ?

Merci

ep44 · Answer

Bonsoir 

Pour DSS ===> http://deckard.geekstogo.com/dss.exe

Pour ==> diaghelp  http://www.malekal.com/download/DiagHelp.zip

as tu toujours les fenêtres de antivir au démarrage de ton PC ?
as tu déplacé ce fichier C:\WINDOWS\fdsv.exe
?

aurelien · Answer

Salut,

genial depuis que j'ai deplacé le fichier en quarantaine je n'ai effectivement plus les alertes !!

Voila le rapport dss :


Deckard's System Scanner v20071014.68
Run by Britschu on 2008-08-15 11:41:45
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Britschu.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:22, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Popup-corn\Popup-corn.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Britschu\Local Settings\Temporary Internet Files\Content.IE5\O9MNOX2B\dss[1].exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Britschu.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {57529428-3C23-45B9-85AF-B1DD8F280E31} - C:\WINDOWS\system32\wldap32d.dll (file missing)
O2 - BHO: (no name) - {68086112-7B8C-444A-A34C-F81D85D8F777} - C:\WINDOWS\system32
tdsccli.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Popup-corn] "C:\Program Files\Popup-corn\Popup-corn.exe" -silent
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

aurelien · Answer

DiagHelp version v1.4 - http://www.malekal.com
excute le 11/08/2008 à 18:12:42,37

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->11/08/2008 18:12:15
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->11/08/2008 18:12:08
C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->11/08/2008 18:11:23
C:\WINDOWS\prefetch\WINACE.EXE-12732281.pf -->11/08/2008 18:09:54
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->11/08/2008 18:09:40
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->11/08/2008 18:08:48
C:\WINDOWS\prefetch\NOTEPAD.EXE-189578DA.pf -->11/08/2008 18:02:38
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->11/08/2008 18:02:27
C:\WINDOWS\prefetch\FINDSTR.EXE-0CA6274B.pf -->11/08/2008 18:02:24
C:\WINDOWS\prefetch\CSCRIPT.EXE-1C26180C.pf -->11/08/2008 18:02:23

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->23/07/2008 20:09:44
C:\WINDOWS\System32\drivers\mbam.sys -->23/07/2008 20:09:38
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->19/07/2008 16:37:42
C:\WINDOWS\System32\drivers\aswmon2.sys -->19/07/2008 16:37:21
C:\WINDOWS\System32\drivers\aswSP.sys -->19/07/2008 16:35:18
C:\WINDOWS\System32\drivers\aswRdr.sys -->19/07/2008 16:33:42
C:\WINDOWS\System32\drivers\aswTdi.sys -->19/07/2008 16:32:36

C:\WINDOWS\System32\wpa.dbl -->09/08/2008 11:13:29
C:\WINDOWS\System32\CONFIG.NT -->08/08/2008 13:40:57
C:\WINDOWS\System32\zllictbl.dat -->22/07/2008 19:48:59
C:\WINDOWS\System32\aswBoot.exe -->19/07/2008 16:43:08
C:\WINDOWS\System32\AvastSS.scr -->19/07/2008 16:30:53
C:\WINDOWS\System32\MRT.exe -->25/06/2008 18:15:46
C:\WINDOWS\System32\mswsock.dll -->20/06/2008 19:41:06
C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 19:41:06
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->11/05/2008 11:19:49
C:\WINDOWS\System32\rmoc3260.dll -->10/05/2008 16:39:54
C:\WINDOWS\System32\pndx5032.dll -->10/05/2008 16:39:47
C:\WINDOWS\System32\pndx5016.dll -->10/05/2008 16:39:47
C:\WINDOWS\System32\pncrt.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\msvcr71.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\msvcp71.dll -->10/05/2008 16:39:45
C:\WINDOWS\System32\FNTCACHE.DAT -->10/05/2008 12:21:17
C:\WINDOWS\System32\TZLog.log -->10/05/2008 12:07:44
C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36
C:\WINDOWS\System32\wininet.dll -->21/04/2008 09:02:40
C:\WINDOWS\System32\urlmon.dll -->21/04/2008 09:02:39
C:\WINDOWS\System32\shlwapi.dll -->21/04/2008 09:02:38
C:\WINDOWS\System32\shdocvw.dll -->21/04/2008 09:02:37
C:\WINDOWS\System32\pngfilt.dll -->21/04/2008 09:02:35
C:\WINDOWS\System32\mstime.dll -->21/04/2008 09:02:35
C:\WINDOWS\System32\msrating.dll -->21/04/2008 09:02:34

C:\WINDOWS\WindowsUpdate.log -->11/08/2008 17:59:52
C:\WINDOWS\0.log -->11/08/2008 17:58:14
C:\WINDOWS\wiadebug.log -->11/08/2008 17:58:13
C:\WINDOWS\wiaservc.log -->11/08/2008 17:58:04
C:\WINDOWS\bootstat.dat -->11/08/2008 17:57:53
C:\WINDOWS\SchedLgU.Txt -->11/08/2008 15:13:07
C:\WINDOWS\WgaNotify.log -->09/08/2008 11:06:40
C:\WINDOWS\setupapi.log -->09/08/2008 11:04:43
C:\WINDOWS\setuperr.log -->09/08/2008 11:04:25
C:\WINDOWS\setupact.log -->09/08/2008 11:04:25
C:\WINDOWS\wmsetup.log -->06/08/2008 20:12:01
C:\WINDOWS\win.ini -->01/08/2008 11:14:53
C:\WINDOWS\system.ini -->01/08/2008 11:14:53
C:\WINDOWS\ntbtlog.txt -->31/07/2008 12:16:10
C:\WINDOWS\NeroDigital.ini -->29/07/2008 20:47:06

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1512
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x5f800000 0x16000 1.01.1593.0000 C:\PROGRA~1\WINDOW~4\MpShHook.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10000000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x00b70000 0x19000 2.10.0003.0002 C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL
0x024d0000 0x56000 7.10.3052.0004 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCP71.dll
0x00d60000 0x32000 2.05.0001.0000 C:\Program Files\WinAce\arcext.dll
0x02530000 0xdc000 2.06.0000.0000 C:\Program Files\WinAce\acev2.dll
0x00c30000 0x9000 2.00.0000.0004 C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
0x00d30000 0x12000 7.00.0000.0015 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x02810000 0x1e2000 2.10.0001.0001 C:\Program Files\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero CoverDesigner\MFC71.DLL
0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
0x64f00000 0x12000 4.08.1227.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x011c0000 0x13000 4.00.0000.0047 C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll
0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll
0x02b40000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 640
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x012a0000 0x32000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\system32

04/08/2004 00:54 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 3 682 189 312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\system32

02/05/2003 09:19 1 323 008 dmcpl.exe
1 fichier(s) 1 323 008 octets
0 Rép(s) 3 682 189 312 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\WINDOWS\Downloaded Program Files

09/08/2008 11:24 <REP> .
09/08/2008 11:24 <REP> ..
09/01/2008 15:01 32 bdcore.dll
09/01/2008 15:01 118 784 bdupd.dll
09/05/2005 18:17 65 desktop.ini
09/05/2005 09:54 539 EPUWALcontrol.inf
23/03/2007 12:17 1 292 erma.inf
10/04/2000 17:12 1 765 fhg.inf
09/01/2008 15:01 53 248 ipsupd.dll
14/03/2007 04:02 1 055 jinstall-6u1.inf
08/08/2006 11:45 576 kavwebscan.inf
26/02/2008 15:42 7 724 lang.ini
09/01/2008 15:01 32 libfn.dll
21/01/2008 17:43 130 live.ini
07/02/2008 14:06 1 248 oscan8.inf
26/02/2008 15:59 487 424 oscan82.ocx
09/10/2003 10:32 144 QTPlugin.inf
09/01/2008 15:01 6 828 scanoptions.tsi
27/03/2006 13:00 5 019 swflash.inf
30/07/2007 19:24 293 wuweb.inf
18 fichier(s) 686 198 octets

Total des fichiers listés :
18 fichier(s) 686 198 octets
2 Rép(s) 3 682 181 120 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 18:13:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
128 - avgnt.exe
156 - ashDisp.exe
176 - msnmsgr.exe
248 - cmd.exe
272 - hpobnz08.exe
508 - hpoevm08.exe
616 - csrss.exe
640 - winlogon.exe
684 - services.exe
696 - lsass.exe
760 - avguard.exe
852 - svchost.exe
928 - svchost.exe
1020 - MsMpEng.exe
1064 - svchost.exe
1152 - svchost.exe
1332 - svchost.exe
1512 - explorer.exe
1632 - ashServ.exe
1908 - spoolsv.exe
2508 - alg.exe
3528 - usnsvc.exe
3900 - IEXPLORE.EXE

Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F8A36000 - \WINDOWS\system32\KDCOM.DLL
F8946000 - \WINDOWS\system32\BOOTVID.dll
F84E6000 - ACPI.sys
F8A38000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F84D5000 - pci.sys
F8536000 - isapnp.sys
F8AFE000 - pciide.sys
F87B6000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F8546000 - MountMgr.sys
F84B6000 - ftdisk.sys
F8A3A000 - dmload.sys
F8490000 - dmio.sys
F87BE000 - PartMgr.sys
F8556000 - VolSnap.sys
F8478000 - atapi.sys
F8566000 - disk.sys
F8576000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8458000 - fltMgr.sys
F8446000 - sr.sys
F842F000 - KSecDD.sys
F83A2000 - Ntfs.sys
F8375000 - NDIS.sys
F894A000 - nv_agp.sys
F835A000 - Mup.sys
F8716000 - \SystemRoot\system32\DRIVERS\amdk7.sys
F886E000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F82CE000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F8876000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F82BA000 - \SystemRoot\system32\DRIVERS\NVENET.sys
F8A02000 - \SystemRoot\system32\drivers\nvax.sys
F887E000 - \SystemRoot\system32\drivers\pfc.sys
F8726000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8736000 - \SystemRoot\system32\DRIVERS\redbook.sys
F8297000 - \SystemRoot\system32\DRIVERS\ks.sys
F8746000 - \SystemRoot\system32\DRIVERS\imapi.sys
F8165000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F8151000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F8886000 - \SystemRoot\system32\DRIVERS\fdc.sys
F8140000 - \SystemRoot\system32\DRIVERS\serial.sys
F8A0E000 - \SystemRoot\system32\DRIVERS\serenum.sys
F812C000 - \SystemRoot\system32\DRIVERS\parport.sys
F8756000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F888E000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8896000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F8B03000 - \SystemRoot\system32\drivers\msmpu401.sys
F8108000 - \SystemRoot\system32\drivers\portcls.sys
F8766000 - \SystemRoot\system32\drivers\drmk.sys
F8A12000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F8B05000 - \SystemRoot\system32\DRIVERS\audstub.sys
F8776000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F8A16000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F80F1000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8786000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8796000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F889E000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F80E0000 - \SystemRoot\system32\DRIVERS\psched.sys
F87A6000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F88AE000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F88B6000 - \SystemRoot\system32\DRIVERS\raspti.sys
F805C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F85A6000 - \SystemRoot\system32\DRIVERS\termdd.sys
F8A52000 - \SystemRoot\system32\DRIVERS\swenum.sys
F800B000 - \SystemRoot\system32\DRIVERS\update.sys
F8A32000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F85B6000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8A54000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F85E6000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7E05000 - \SystemRoot\system32\drivers\nvapu.sys
F7D3C000 - \SystemRoot\system32\drivers\nvmcp.sys
F85F6000 - \SystemRoot\system32\drivers\nvarm.sys
F88C6000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F8A70000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B95000 - \SystemRoot\System32\Drivers\Null.SYS
F8A72000 - \SystemRoot\System32\Drivers\Beep.SYS
F88DE000 - \SystemRoot\System32\drivers\vga.sys
F8A74000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A76000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F88E6000 - \SystemRoot\System32\Drivers\Msfs.SYS
F88EE000 - \SystemRoot\System32\Drivers\Npfs.SYS
F89D6000 - \SystemRoot\system32\DRIVERS\rasacd.sys
EEBF9000 - \SystemRoot\system32\DRIVERS\ipsec.sys
EEBA1000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F8616000 - \SystemRoot\System32\Drivers\aswTdi.SYS
EEB79000 - \SystemRoot\system32\DRIVERS\netbt.sys
EEB57000 - \SystemRoot\System32\drivers\afd.sys
F8626000 - \SystemRoot\system32\DRIVERS\netbios.sys
EEB2A000 - \SystemRoot\system32\DRIVERS\anvioctl.sys
F88F6000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
EDAFF000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F8BA9000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS
EDA90000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8636000 - \SystemRoot\System32\Drivers\Fips.SYS
EDA6F000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F8656000 - \SystemRoot\system32\DRIVERS\wanarp.sys
EDA21000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F8A7A000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
ED9DF000 - \SystemRoot\System32\Drivers\aswSP.SYS
F8906000 - \SystemRoot\system32\DRIVERS\asuskbnt.sys
F890E000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F8706000 - \SystemRoot\System32\Drivers\Cdfs.SYS
ED8BA000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A9C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F8309000 - \SystemRoot\System32\drivers\Dxapi.sys
F8806000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F8C41000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
BF0E1000 - \SystemRoot\System32\ANV4DISP.DLL
BF3EA000 - \SystemRoot\System32\ANVMINI.DLL
F8816000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
ED605000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
ED333000 - \SystemRoot\System32\Drivers\aswMon2.SYS
ED0EE000 - \SystemRoot\system32\drivers\wdmaud.sys
ED213000 - \SystemRoot\system32\drivers\sysaudio.sys
ED09F000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F8AF4000 - \SystemRoot\System32\Drivers\ParVdm.SYS
ECCAA000 - \SystemRoot\system32\DRIVERS\srv.sys
ECBA6000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
EC90D000 - \SystemRoot\System32\Drivers\HTTP.sys
F8B4E000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 123

Liste des programmes installes

Adobe Acrobat 5.0
Adobe Flash Player ActiveX
ASUS Display Drivers
Autodesk DWF Viewer
avast! Antivirus
Avira AntiVir Personal - Free Antivirus
BayGenie eBay Auction Sniper Free Edition 3.1.3.0
BayGenie eBay Auction Sniper Pro Edition 3.1.3.0
CCleaner (remove only)
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
dBpowerAMP Music Converter
dBpowerAMP WMA V8 Codec
DivX Content Uploader
DivX Player
EZface ActiveX 207
Free - Kit de connexion
HijackThis 2.0.2
hp psc 2170 series
Intel(R) Integrated Performance Primitives RTI 4.0
Java(TM) 6 Update 5
Kaspersky On-line Scanner
Kaspersky Online Scanner
LimeWire 4.12.6
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office 2000 Premium
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB896688)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899589)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911280)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944338)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950759)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951376)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
MSXML 4.0 SP2 (KB936181)
Nero 7 Premium
neroxml
NVIDIA Windows 2000/XP Display Drivers
PartitionMagic
PDFCreator
PDFCreator Toolbar
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 2170 series
Pilotes NVIDIA nForce pour Windows 2000/XP
Popup-corn (désinstallation)
PowerQuest PartitionMagic 8.0
RealPlayer
Remove DivX Codec
TomTom HOME
TuneUp Utilities 2008
USB Storage Driver
VC_MergeModuleToMSI
VideoLAN VLC media player 0.8.4a
WebFldrs XP
WinAce Archiver
Winamp3 (remove only)
Windows Defender
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
XviD Video Codec 01082002-1 (Koepi's build with EPSZ ME)

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files

08/08/2008 13:40 <REP> .
08/08/2008 13:40 <REP> ..
12/05/2005 17:05 <REP> Adobe
08/08/2008 13:40 <REP> Alwil Software
21/03/2006 21:37 <REP> Autodesk
02/08/2008 17:18 <REP> Avira
18/05/2008 17:10 <REP> BayGenie
22/08/2005 17:45 <REP> DivX
28/01/2007 17:27 <REP> EZFace
29/07/2008 08:53 <REP> Fichiers communs
22/08/2005 17:44 <REP> Free(3).fr
04/02/2006 13:38 <REP> Free.fr
18/05/2008 11:43 <REP> Google
01/07/2007 16:38 <REP> Hewlett-Packard
01/01/2006 16:45 <REP> Illustrate
11/06/2008 14:30 <REP> Internet Explorer
11/05/2008 11:19 <REP> Java
21/01/2007 20:39 <REP> LimeWire
24/07/2008 18:41 <REP> Malwarebytes' Anti-Malware
09/05/2005 19:58 <REP> Messenger
21/07/2008 20:21 <REP> Microsoft AntiSpyware
09/05/2005 19:17 <REP> microsoft frontpage
22/03/2008 19:50 <REP> Microsoft Office
09/05/2005 18:16 <REP> Movie Maker
09/05/2005 18:14 <REP> MSN
09/05/2005 18:14 <REP> MSN Gaming Zone
14/09/2007 18:15 <REP> MSN Messenger
10/05/2008 13:01 <REP> MSXML 4.0
10/05/2008 12:09 <REP> Nero
09/05/2005 18:16 <REP> NetMeeting
09/05/2005 18:15 <REP> Online Services
10/05/2008 12:08 <REP> Outlook Express
24/01/2007 14:03 <REP> PDFCreator Toolbar
17/12/2006 14:45 <REP> Popup-corn
10/05/2008 09:55 <REP> PowerQuest
10/05/2008 16:39 <REP> Real
09/05/2005 18:17 <REP> Services en ligne
09/08/2008 11:43 <REP> Spybot - Search & Destroy
25/04/2008 22:19 <REP> TomTom DesktopSuite
25/04/2008 22:43 <REP> TomTom HOME 2
23/07/2008 19:33 <REP> Trend Micro
10/05/2008 09:20 <REP> TuneUp Utilities 2008
29/06/2008 22:21 <REP> VideoLAN
26/07/2008 11:59 <REP> WinAce
16/05/2005 12:48 <REP> Winamp3
21/07/2008 20:22 <REP> Windows Defender
10/05/2008 12:09 <REP> Windows Media Player
09/05/2005 18:14 <REP> Windows NT
09/05/2005 18:18 <REP> xerox
09/05/2005 19:40 <REP> XviD
0 fichier(s) 0 octets
50 Rép(s) 3 683 360 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files\fichiers communs

29/07/2008 08:53 <REP> .
29/07/2008 08:53 <REP> ..
12/05/2005 17:06 <REP> Adobe
10/05/2008 12:11 <REP> Ahead
27/05/2006 10:00 <REP> Autodesk Shared
27/05/2006 10:00 <REP> Designer
11/05/2005 16:28 <REP> Hewlett-Packard
11/09/2006 19:19 <REP> InstallShield
11/05/2008 11:18 <REP> Java
22/03/2008 19:50 <REP> Microsoft Shared
09/05/2005 18:16 <REP> MSSoap
09/05/2005 20:03 <REP> ODBC
10/05/2008 16:39 <REP> Real
09/05/2005 18:16 <REP> Services
09/05/2005 20:03 <REP> SpeechEngines
10/05/2008 12:08 <REP> System
15/03/2008 20:42 <REP> Wise Installation Wizard
10/05/2008 16:39 <REP> xing shared
0 fichier(s) 0 octets
18 Rép(s) 3 683 356 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est AC9C-FFCB

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

09/05/2005 18:23 <REP> .
09/05/2005 18:23 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
18/03/1999 07:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 3 682 832 384 octets libres

c:\Documents and Settings\Britschu\.limewire\.NetworkShare\LimeWireWin4.16.6.exe
c:\Documents and Settings\Britschu\Bureau\antivir_workstation_winu_en_h.exe
c:\Documents and Settings\Britschu\Bureau\dss.exe
c:\Documents and Settings\Britschu\Bureau\HJTInstall.exe
c:\Documents and Settings\Britschu\Bureau\mbam-setup.exe
c:\Documents and Settings\Britschu\Bureau\OTMoveIt2.exe
c:\Documents and Settings\Britschu\Bureau\outil.exe
c:\Documents and Settings\Britschu\Bureau\RealPlayer11GOLD_fr.exe
c:\Documents and Settings\Britschu\Bureau\SDFix.exe
c:\Documents and Settings\Britschu\Bureau\setupfre.exe
c:\Documents and Settings\Britschu\Bureau\zlsSetup_70_462_000_fr.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Britschu\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Britschu\Bureau\GenProc\GenProc\outil\sed-3.59.exe
c:\Documents and Settings\Britschu\Bureau\GenProc\GenProc\outil\swreg.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\catchme.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\ERUNT.EXE
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\FixPath.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\grep.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\isadmin.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\moveex.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\procs.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\psservice.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\sed.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\shutdown.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\vfind.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\WINMSG.EXE
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\regedit.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\Britschu\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Default\MpEngine.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{91583DFB-94DB-43F1-9323-A2E443BE0164}\mpengine.dll
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll
c:\Documents and Settings\Britschu\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Britschu\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_AUREL.tar.gz a l'adresse http://upload.malekal.com

ep44 · Answer

Bonjour 


Bon une très bonne nouvelle :)

Garde le en quarantaine et vérifie que ton PC tourne correctement 
ensuite si plus de soucis tu le supprime 

pour la suite 


Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O2 - BHO: (no name) - {20ED4D1F-47EB-4BBF-BA50-2999A86DBCBD} - C:\WINDOWS\system32\rasppp32.dll (file missing) 
O2 - BHO: (no name) - {24602A70-4815-4183-A2D2-06641AC8A5BB} - C:\WINDOWS\system32\comcat32.dll (file missing) 
O2 - BHO: (no name) - {3E86E8FD-0411-4D2D-91D9-37CA6016D17C} - C:\WINDOWS\system32\hlink32.dll (file missing) 
O2 - BHO: (no name) - {5E4117FF-9764-4761-A3F6-50465CFB9C2F} - C:\WINDOWS\system32\uniplatd.dll (file missing) 
O2 - BHO: (no name) - {647BB608-B9D5-49C2-A900-55AC8FD17539} - C:\WINDOWS\system32\cmutil32.dll (file missing) 
O2 - BHO: (no name) - {6C42F41F-7067-4333-BC0C-C3DA5CC332EB} - C:\WINDOWS\system32\iyuv_32d.dll (file missing) 
O2 - BHO: (no name) - {917921FC-E120-4EF5-A43C-477C46736F51} - C:\WINDOWS\system32\sfcurity.dll (file missing) 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"     
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     



Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked" 

redémarre ton PC ensuite 

Télécharge ATF Cleaner par Atribune.
http://www.atribune.org/ccount/click.php?id=1

      Double-clique ATF-Cleaner.exe afin de lancer le programme.
      Sous l'onglet Main, choisis : Select All
      Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

      Clique Firefox au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

      Clique Opera au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 

tient moi au courant de l'évolution stp

aurélien · Answer

Salut,

je m'excuse j'ai une semaine tres chargée. Je fais tout cela au courant de la semaine sans faute.
Merci

ep44 · Answer

Bonsoir 

ok pas de soucis ;)

@+

aurel · Answer

Voila, desolé pour le retard. 
J'ai tout donc fait ce que tu m'as dit et je constate depuis 1 semaine que le pc fonctionne à merveille (plus d'alerte au demarrage).

Je t'en remercie tres sincerement car tu as passé un temps fou tout de meme à chercher l'anomalie. Et un grand Bravo car je t'avou qu'au bout d'un moment quand je fesais 3 fois les memes choses je n'y croyais plus spécialement :-)

Puis je supprimer tout ce que nous avons installé ? Dois je supprimer le fichier que tu m'as fait mettre en quarantaine ?

ep44 · Answer

Bonsoir 

content pour toi 

pour la suppression des logiciels installer 

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://pc-system.fr/

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau


ensuite fait ceci (IMPORTANT)

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..



      Pense aussi à faire tes mises à jours régulièrement

      Windows update : ==> ici =>http://www.update.microsoft.com/windowsupdate/v6/default.aspx
      Java : ==> ici => https://www.java.com/fr/download/

      Ces mises à jours sont très importantes pour la sécurité de ton PC.



      N'installe qu'un seul parefeu !!
      et bien sur qu'un antivirus

      N'oublie pas de faire régulièrement les mises à jour de tes logiciels avant chaque scan.

    * Tu peux aussi utiliser ces logiciels de sécurité

      Malwarebytes => C'est un anti-malwares gratuit et en français, tu devras une fois installer le lancer périodiquement pour contrôler ton PC.
      Un tuto pour le télécharger et son installation => Ici => http://www.swl1f.net/viewtopic.php?f=14&t=68

      Spyware Terminator => C'est un anti-spyware gratuit et en français, Il travaillera automatiquement grâce à son module résident, tu pourras le programmer pour effectuer un scan journalier.
     Un tuto pour le télécharger et son installation => Ici => http://www.swl1f.net/viewtopic.php?f=14&t=66




    * Ensuite quelques conseils
      L'infection de ton pc peut se faire de différente façon, voici en quelques lignes plusieurs points à éviter. ==> ici =>http://www.swl1f.net/viewtopic.php?f=14&t=67



    * le navigateur

      Essaye le navigateur Firefox plus sur/securisé qu IE
      Firefox n'utilise pas le dangereux protocole ActiveX
    * Téléchargement: ==> Firefox => http://www.mozilla-europe.org/fr/products/firefox/
    * Tutorial pour le sécuriser: ==> ici =>https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/



      Important
      Surfez avec les droits administrateurs sur le net te rend vulnérable, il faut donc utiliser un autre compte que celui de l'administrateur





    * Pour que ton pc retrouve un peu de jeunesse
    * Pense a lancer une petite défragmentation.
    * Utilise CCleaner régulièrement.
    * Gère tes services grâce a ces 2 liens
      ==> ici => http://speedweb1.free.fr/frames2.php?page=service3 et ==> ici => http://speedweb1.free.fr/frames2.php?page=service4
    * Utilise Zeb Utility
      une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon)
      Téléchargement : ==> ici ==> https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html
      Tuto : ==> ici => https://www.zebulon.fr/dossiers/autres/58-zebutility.html






Et pour finir


Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection

- Voir les règles du forum : ==> ici => https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).


* malwarecomplaints => https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé 

* Tuto => http://www.malekal.com/malwarecomplaints.html

@+

aurelien · Answer

Voila après plusieurs semaines d'utilisation, mon PC est maitenant en pleine forme ! C'est à toi qu'il le doit donc grand grand merci pour ta précieuse aide !!
En espérant que d'autres personnes comme moi vont pouvoir bénéficer de tes services, je te souhaite bonne continuation et bravo encore !

Amicalement

Aurélien

ep44 · Answer

Bonsoir avec plaisir

BYE

Probleme avec regsvc32.dll et svchost.exe

65 réponses

Votre réponse

Discussions similaires

Newsletters