rapport hijackthis

Question

Bonjour,
 la room, je viens vous demander de l'aide svp... je suis assez novice en ce domaine, en fait j'ai sans arrêt des attaques "intrusion.MSSQL.etc......
Le pc rame vraiment beaucoup impossible de gérer deux pages ouverte sur le net et que dire du temp d'attente pour l'ouverture de firefox
je suis maman de trois petits bouts et j'avoue être assez déçue et triste de ne pouvoir les distraire ,jeux éducatif et autres....
plantage sur plantage...
D'avance un grand merci.






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:08, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\kipo\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{187B2DF1-7C5A-4A3F-BD4E-CAD4ED597B16}: NameServer = 195.238.2.22 195.238.2.21
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
End of file - 3354 bytes

E..T · Accepted Answer

chefpunky, ton lien n'est pas actif ;-)
+++

chefpunky · Answer

pour commencer telechargeMBAM:
1.1 https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware

1.2 met le a jour

1.3 fais une recherche COMPLETE

1.4 nettoit toutes les infection

1.5 poste le rapport ici 

j' espere pouvoir t' aider toi ainsi que t enfants .

vralerie · Answer

Merci à toi de me guider ...
je viens à l'instant de le télécharger"Malwarebytes" et lancé l'analyse ;o) je poste dès que c'est terminé.

chefpunky · Answer

ok a toute alor^^

vralerie · Answer

Voilà terminé l'analyse mais à première vue rien trouvé...

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1015
Windows 5.1.2600 Service Pack 2

09:43:32 02/08/2008
mbam-log-8-2-2008 (09-43-32).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 44898
Temps écoulé: 15 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

^^Marie^^ · Answer

Bonjour

Pour suivre...

En attendant

Fais un clic droit sur hijackthis, choisis "renommer" marque : PROUT.exe 
Puis remet un rapport stp


Pourquoi renommer HT

Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse : la modification du nom de l'exe pallie ce problème...
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

chefpunky · Answer

telecharge spybot S&D:
http://www.commentcamarche.net/telecharger/telecharger 122 spybot
-met le a jour
-va dans vaccination et vaccine tou
-et fait verifier tout

E..T · Answer

Pour avancer chefpunky,

vralerie 

Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport ici.


@+++

vralerie · Answer

Ok merci pour tout vos conseils et votre aide précieuse 
je fait le tout et poste le résultat de suite 
;o)

E..T · Answer

Valerie, fais seulement navilog pour l'instant message 8 .

@++

vralerie · Answer

Ouai ...
téléchargé et lancé navilog et là des dizaines de fenêtres navilog c'est encore pire qu' avant oupsss

E..T · Answer

Ok fais navilog en mode sans échec comme suit

Pour faire l'analyse :
* Démarre en mode sans échec

Comment faire :
Redémarres l’ordinateur
Dès le chargement du BIOS, commences à appuyer sur la touche F8 de ton clavier,i jusqu'au ou le menu des options avancées de Windows apparait. 
Sélectionne "Mode sans échec" dans le menu puis appuyez sur Entrée. 


Puis lance navilog >> choix 1.


+++

vralerie · Answer

Je vais essayer cela mais pour poster le résultat je crois que mon super pc de la mort va mettre bcp de temp pour effectuer son travail n'attendez donc pas de suite que je puisse poster

Utilisateur anonyme · Answer

Salut

malewarebyte n a rien trouvé et pourtant a jours:

Version de la base de données: 1015 

fichiers host peut etre


pour suivre

@++

E..T · Answer

Salut chiqui ;-)
Merci pour les infos .
Si je calle je vous appelle .
@+++

vralerie · Answer

Alors voilà terminé d'analyser sous le mode ss échec
ensuite enregistré le rapport dans mon bloc note....
je redémare pour vous poster le tout et là oups rien dans le bloc note impossible de retrouver le rapport....

décidément je ne m'en sortirai jamais....

E..T · Answer

Regarde sur ton disque C >> si tu vois log .... notepad
+++

E..T · Answer

Tiens regarde ici comment retrouver ton log tu réouvres malwarebyte's et tu vas sur l'onglet rapport log et poste le dernier exécuter ;-)
https://forum.pcastuces.com/sujet.asp?f=31&s=3

++

Utilisateur anonyme · Answer

C est le rapport navilog qu il faut


va dans poste de travail
entre dans le disque C
cherche : fixnavi.txt


@++

Bonne suite

E..T · Answer

Oh le c** pas bien réveillé merci chiqui.
++

vralerie · Answer

Cool grace à toi j'ai retrouvé mon rapport lol je suis vraiment trop forte mdr
voilà

Search Navipromo version 3.6.1 commencé le 02/08/2008 à 10:39:23,01

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "kipo" 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\kipo\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kipo\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kipo\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier Navipromo trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\kipo\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\kipo\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 02/08/2008 à 10:55:54,84 ***

vralerie · Answer

Après avoir posté le rapport j'ai lance Spybot,il est toujours occupé à analyser j'attend vos conseils pour la suite avant de continuer...
merci por tout.

E..T · Answer

Ok, 
Merci a chiqui pour ce qui suit ;-)


Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:

http://deckard.geekstogo.com/dss.exe


(choisis enregistrer, puis Bureau comme emplacement)

Ferme toutes les applications en cours.

Double-clic sur DSS.exe pour lancer l'outil.

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.

Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse.

Les rapports sont ici :
(!) C:\Deckard\System Scanner\main.txt
(!) C:\Deckard\System Scanner\extra.txt

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


@++

vralerie · Answer

bien je le fais de suite et je re pour poster le résultat ;o)

vralerie · Answer

Enfin j'y suis parvenue...
voiçi le(s) rapports demandé ;o)

Deckard's System Scanner v20071014.68
Run by kipo on 2008-08-02 11:28:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
21: 2008-08-02 09:29:03 UTC - RP21 - Deckard's System Scanner Restore Point
20: 2008-08-01 16:08:32 UTC - RP20 - Point de vérification système
19: 2008-07-30 15:32:04 UTC - RP19 - Point de vérification système
18: 2008-07-29 08:00:27 UTC - RP18 - Software Distribution Service 3.0
17: 2008-07-29 05:13:09 UTC - RP17 - Software Distribution Service 3.0


-- First Restore Point -- 
1: 2008-07-21 14:06:23 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 511 MiB (512 MiB recommended)./color


-- HijackThis (run as kipo.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:40, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\kipo\Bureau\dss.exe
C:\DOCUME~1\kipo\Bureau\kipo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{187B2DF1-7C5A-4A3F-BD4E-CAD4ED597B16}: NameServer = 195.238.2.22 195.238.2.21
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

vralerie · Answer

merci svp de me guider pour la suite ;o)

E..T · Answer

Bah continue:
Merci à chiqui pour ce canned ;-)

Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose !

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ... 

A toute.
@++

vralerie · Answer

Voilà analyse terminée je vous poste de suite. j'ose espérer que vous parvendrez à résoudre mes problèmes ;o) DiagHelp version v1.4 - http://www.malekal.com excute le 02/08/2008 à 12:13:25,27 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->02/08/2008 12:13:19 C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->02/08/2008 12:12:52 C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->02/08/2008 11:54:53 C:\WINDOWS\prefetch\SPYBOTSD.EXE-1344276B.pf -->02/08/2008 11:52:19 C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->02/08/2008 11:40:05 C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->02/08/2008 11:40:01 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->02/08/2008 11:38:35 C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->02/08/2008 11:32:25 C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->02/08/2008 11:32:16 C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->02/08/2008 11:32:01 C:\WINDOWS\System32\drivers\fidbox.dat -->02/08/2008 12:12:56 C:\WINDOWS\System32\drivers\fidbox2.dat -->02/08/2008 12:12:43 C:\WINDOWS\System32\drivers\fidbox2.idx -->02/08/2008 10:14:11 C:\WINDOWS\System32\drivers\fidbox.idx -->02/08/2008 10:14:11 C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->30/07/2008 20:07:56 C:\WINDOWS\System32\drivers\mbam.sys -->30/07/2008 20:07:52 C:\WINDOWS\System32\drivers\kl1.sys -->25/07/2008 10:15:14 C:\WINDOWS\System32\wpa.dbl -->01/08/2008 15:36:57 C:\WINDOWS\System32\TZLog.log -->26/07/2008 22:31:54 C:\WINDOWS\System32\PerfStringBackup.INI -->21/07/2008 22:29:21 C:\WINDOWS\System32\perfh00C.dat -->21/07/2008 22:29:21 C:\WINDOWS\System32\perfh009.dat -->21/07/2008 22:29:21 C:\WINDOWS\System32\perfc00C.dat -->21/07/2008 22:29:21 C:\WINDOWS\System32\perfc009.dat -->21/07/2008 22:29:21 C:\WINDOWS\System32\h323log.txt -->21/07/2008 17:36:31 C:\WINDOWS\System32\FNTCACHE.DAT -->21/07/2008 15:51:52 C:\WINDOWS\System32\$winnt$.inf -->21/07/2008 15:50:51 C:\WINDOWS\System32\CONFIG.NT -->21/07/2008 15:46:39 C:\WINDOWS\System32 scompat.tlb -->21/07/2008 15:46:30 C:\WINDOWS\System32\amcompat.tlb -->21/07/2008 15:46:30 C:\WINDOWS\System32\WindowsLogon.manifest -->21/07/2008 15:45:04 C:\WINDOWS\System32\logonui.exe.manifest -->21/07/2008 15:45:04 C:\WINDOWS\System32\wuaucpl.cpl.manifest -->21/07/2008 15:44:53 C:\WINDOWS\System32\sapi.cpl.manifest -->21/07/2008 15:44:53 C:\WINDOWS\System32 wc.cpl.manifest -->21/07/2008 15:44:53 C:\WINDOWS\System32 cpa.cpl.manifest -->21/07/2008 15:44:53 C:\WINDOWS\System32\cdplayer.exe.manifest -->21/07/2008 15:44:53 C:\WINDOWS\System32\emptyregdb.dat -->21/07/2008 15:40:51 C:\WINDOWS\System32\MRT.exe -->25/06/2008 09:15:48 C:\WINDOWS\System32\mswsock.dll -->20/06/2008 19:41:06 C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 19:41:06 C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36 C:\WINDOWS\setupapi.log -->02/08/2008 11:54:51 C:\WINDOWS\WindowsUpdate.log -->02/08/2008 11:38:30 C:\WINDOWS\0.log -->02/08/2008 10:25:32 C:\WINDOWS\bootstat.dat -->02/08/2008 10:24:52 C:\WINDOWS tbtlog.txt -->02/08/2008 10:20:58 C:\WINDOWS\SchedLgU.Txt -->02/08/2008 10:13:53 C:\WINDOWS\wiaservc.log -->01/08/2008 19:07:08 C:\WINDOWS\wiadebug.log -->01/08/2008 19:07:08 C:\WINDOWS\setupact.log -->30/07/2008 19:10:23 C:\WINDOWS\wmsetup.log -->30/07/2008 18:51:35 C:\WINDOWS\msxml4-KB936181-enu.LOG -->29/07/2008 10:00:44 C:\WINDOWS\QTFont.qfn -->28/07/2008 12:55:09 C:\WINDOWS\QTFont.for -->28/07/2008 12:55:09 C:\WINDOWS soc.log -->26/07/2008 22:32:15 C:\WINDOWS\ocmsn.log -->26/07/2008 22:32:15 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1308 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path *** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image: *** File timestamp: Wed Aug 04 09:54:15 2004 *** Loaded image timestamp: Wed Aug 04 09:54:16 2004 *** Loaded C:\WINDOWS\system32\USER32.dll differs from file image: *** File timestamp: Wed Aug 04 09:54:10 2004 *** Loaded image timestamp: Wed Aug 04 10:06:22 2004 *** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image: *** File timestamp: Wed Aug 04 09:53:55 2004 *** Loaded image timestamp: Wed Aug 04 10:06:30 2004 *** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image: *** File timestamp: Mon Apr 21 09:02:35 2008 *** Loaded image timestamp: Mon Apr 21 09:04:49 2008 0x30000000 0x15000 7.00.0001.0325 C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll 0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x305e0000 0x16000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll 0x30480000 0xe000 7.00.0005.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll 0x78130000 0x9b000 8.00.50727.0042 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\MSVCR80.dll 0x307e0000 0x27000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x10000000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll 0x30810000 0xc000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll 0x7c420000 0x87000 8.00.50727.0042 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\MSVCP80.dll 0x01c90000 0x15000 5.01.0000.3100 C:\WINDOWS\system32\btmmhook.dll 0x01cc0000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll *** Loaded C:\WINDOWS\system32\RASAPI32.dll differs from file image: *** File timestamp: Wed Aug 04 09:53:42 2004 *** Loaded image timestamp: Wed Aug 04 09:58:24 2004 0x021c0000 0x187000 1.06.0000.0012 C:\PROGRA~1\SPYBOT~1\SDHelper.dll 0x75be0000 0x6e000 5.06.0000.8820 C:\WINDOWS\system32\jscript.dll 0x30510000 0xb000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll 0x30760000 0x14000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll 0x30710000 0x48000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll 0x311f0000 0x30000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl 0x31080000 0x71000 7.00.0001.0325 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl 0x312c0000 0x9000 7.00.0001.0325 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl 0x31430000 0x7000 7.00.0001.0325 c:\program files\kaspersky lab\kaspersky internet security 7.0 empfile.ppl 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x05b40000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x05b60000 0xf000 C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll 0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL 0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL 0x06330000 0x2b7000 1.00.0000.0001 C:\WINDOWS\system32\btwicons.dll 0x00c90000 0x11000 5.01.0000.3100 C:\WINDOWS\system32\btncopy.dll 0x00e60000 0x117000 5.01.0000.3100 C:\WINDOWS\system32\btneighborhood.dll 0x02910000 0xb8000 5.01.0000.3100 C:\WINDOWS\system32\wbtapi.dll 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll 0x00f80000 0xb000 5.01.0000.3100 C:\WINDOWS\system32\btwpimif.dll 0x00f90000 0x20000 5.01.0000.3100 C:\WINDOWS\system32\btosif.dll 0x06020000 0x30b000 5.01.0000.3100 C:\WINDOWS\system32\btrez.dll 0x016e0000 0x1c000 5.01.0000.3100 C:\WINDOWS\system32\BtXpPanel.Dll 0x74780000 0x16e000 6.05.2600.3367 C:\WINDOWS\system32\quartz.dll 0x58640000 0x8a000 1.09.0000.0305 C:\WINDOWS\system32\l3codeca.acm ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 596 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe *** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image: *** File timestamp: Wed Aug 04 09:54:15 2004 *** Loaded image timestamp: Wed Aug 04 09:54:16 2004 0x30000000 0x15000 7.00.0001.0325 C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x305e0000 0x16000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll 0x304d0000 0x36000 7.00.0001.0325 C:\WINDOWS\system32\klogon.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 9028-4909 Répertoire de C:\WINDOWS\system32 05/08/2004 14:00 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 76 158 394 368 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 9028-4909 Répertoire de C:\WINDOWS\Downloaded Program Files 02/08/2008 11:29 . 02/08/2008 11:29 .. 28/07/2008 01:33 CONFLICT.1 21/07/2008 15:45 65 desktop.ini 24/03/2008 19:18 247 swflash.inf 2 fichier(s) 312 octets Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1 28/07/2008 01:33 . 28/07/2008 01:33 .. 24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe 24/03/2008 19:18 247 swflash.inf 2 fichier(s) 1 527 303 octets Total des fichiers listés : 4 fichier(s) 1 527 615 octets 5 Rép(s) 76 158 394 368 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-02 12:19:33 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Error loading kernel support driver! Make sure you are running this as Administrator. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 toskrnl.exe 806EC000 - \WINDOWS\system32\hal.dll F8A37000 - \WINDOWS\system32\KDCOM.DLL F8947000 - \WINDOWS\system32\BOOTVID.dll F84E7000 - ACPI.sys F8A39000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F84D6000 - pci.sys F8537000 - isapnp.sys F8A3B000 - intelide.sys F87B7000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F8547000 - MountMgr.sys F84B7000 - ftdisk.sys F87BF000 - PartMgr.sys F8557000 - VolSnap.sys F849F000 - atapi.sys F8567000 - disk.sys F8577000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F8480000 - fltMgr.sys F846E000 - sr.sys F8457000 - KSecDD.sys F83CA000 - Ntfs.sys F839D000 - NDIS.sys F8382000 - Mup.sys F8365000 - kl1.sys F87C7000 - \WINDOWS\system32\drivers\TDI.SYS F8607000 - \SystemRoot\system32\DRIVERS\p3.sys F82F5000 - \SystemRoot\system32\DRIVERS\i81xnt5.sys F82E1000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F8617000 - \SystemRoot\system32\drivers\es1371mp.sys F82BD000 - \SystemRoot\system32\drivers\portcls.sys F8627000 - \SystemRoot\system32\drivers\drmk.sys F829A000 - \SystemRoot\system32\drivers\ks.sys F8637000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F8807000 - \SystemRoot\system32\DRIVERS\mouclass.sys F880F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F8817000 - \SystemRoot\system32\DRIVERS\fdc.sys F8289000 - \SystemRoot\system32\DRIVERS\serial.sys F89D7000 - \SystemRoot\system32\DRIVERS\serenum.sys F8275000 - \SystemRoot\system32\DRIVERS\parport.sys F8647000 - \SystemRoot\system32\DRIVERS\cdrom.sys F8657000 - \SystemRoot\system32\DRIVERS edbook.sys F881F000 - \SystemRoot\system32\DRIVERS\usbuhci.sys F8252000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F8182000 - \SystemRoot\system32\DRIVERS\btkrnl.sys F8827000 - \SystemRoot\system32\DRIVERS\klim5.sys F8B50000 - \SystemRoot\system32\DRIVERS\audstub.sys F8667000 - \SystemRoot\system32\DRIVERS asl2tp.sys F89E3000 - \SystemRoot\system32\DRIVERS distapi.sys F8154000 - \SystemRoot\system32\DRIVERS diswan.sys F8677000 - \SystemRoot\system32\DRIVERS aspppoe.sys F8687000 - \SystemRoot\system32\DRIVERS aspptp.sys F8143000 - \SystemRoot\system32\DRIVERS\psched.sys F8697000 - \SystemRoot\system32\DRIVERS\msgpc.sys F882F000 - \SystemRoot\system32\DRIVERS\ptilink.sys F8837000 - \SystemRoot\system32\DRIVERS aspti.sys F86A7000 - \SystemRoot\system32\DRIVERS ermdd.sys F8A4D000 - \SystemRoot\system32\DRIVERS\swenum.sys F7FCF000 - \SystemRoot\system32\DRIVERS\update.sys F89EF000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F86B7000 - \SystemRoot\system32\DRIVERS\usbhub.sys F8A4F000 - \SystemRoot\system32\DRIVERS\USBD.SYS F883F000 - \SystemRoot\system32\DRIVERS\btport.sys F7F4F000 - \SystemRoot\system32\drivers\btaudio.sys F86C7000 - \SystemRoot\System32\Drivers\NDProxy.SYS F8A33000 - \SystemRoot\system32\DRIVERS\gameenum.sys F887F000 - \SystemRoot\system32\DRIVERS\flpydisk.sys F8A51000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F8C0A000 - \SystemRoot\System32\Drivers\Null.SYS F8A53000 - \SystemRoot\System32\Drivers\Beep.SYS F888F000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS F8897000 - \SystemRoot\System32\drivers\vga.sys F8A55000 - \SystemRoot\System32\Drivers\mnmdd.SYS F8A57000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F889F000 - \SystemRoot\System32\Drivers\Msfs.SYS F88A7000 - \SystemRoot\System32\Drivers\Npfs.SYS F8339000 - \SystemRoot\system32\DRIVERS asacd.sys F3DAC000 - \SystemRoot\system32\DRIVERS\ipsec.sys F3D54000 - \SystemRoot\system32\DRIVERS cpip.sys F3D2C000 - \SystemRoot\system32\DRIVERS etbt.sys F3D0A000 - \SystemRoot\System32\drivers\afd.sys F8717000 - \SystemRoot\system32\DRIVERS etbios.sys F3CDE000 - \SystemRoot\system32\DRIVERS dbss.sys F3C47000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F3C13000 - \??\C:\WINDOWS\system32\drivers\klif.sys F8737000 - \SystemRoot\System32\Drivers\Fips.SYS F3BF2000 - \SystemRoot\system32\DRIVERS\ipnat.sys F8767000 - \SystemRoot\system32\DRIVERS\wanarp.sys F3B63000 - \SystemRoot\system32\DRIVERS\alcaudsl.sys F8A5B000 - \SystemRoot\system32\DRIVERS\alcawh.sys F8C2F000 - \SystemRoot\system32\DRIVERS\alcacr.sys F8777000 - \SystemRoot\System32\Drivers\Cdfs.SYS F8797000 - \SystemRoot\system32\DRIVERS\alcan5wn.sys F3B4B000 - \SystemRoot\System32\Drivers\dump_atapi.sys F8A5F000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F88CF000 - \SystemRoot\System32\watchdog.sys F3DFF000 - \SystemRoot\System32\drivers\Dxapi.sys BF9C1000 - \SystemRoot\System32\drivers\dxg.sys F8C59000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D3000 - \SystemRoot\System32\i81xdnt5.dll F3A17000 - \SystemRoot\system32\DRIVERS disuio.sys F36EE000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F8A91000 - \SystemRoot\System32\Drivers\ParVdm.SYS F36B1000 - \SystemRoot\system32\drivers\wdmaud.sys F3853000 - \SystemRoot\system32\drivers\sysaudio.sys F3549000 - \SystemRoot\system32\DRIVERS\srv.sys F3118000 - \SystemRoot\System32\Drivers\HTTP.sys F2D81000 - \SystemRoot\System32\Drivers\Fastfat.SYS F88F7000 - \??\C:\DOCUME~1\kipo\LOCALS~1\Temp\catchme.sys F2D57000 - \SystemRoot\system32\drivers\kmixer.sys F8BE5000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 111 Liste des programmes installes Adobe Flash Player ActiveX Adobe Flash Player Plugin Alcatel SpeedTouch USB Software BlackBerry Connect Desktop pour Sony Ericsson BlackBerry Connect Desktop pour Sony Ericsson HijackThis 2.0.2 Kaspersky Internet Security 7.0 Kaspersky Internet Security 7.0 Malwarebytes' Anti-Malware Mise à jour de sécurité pour Windows XP (KB923789) Mise à jour de sécurité pour Windows XP (KB950749) Mise à jour de sécurité pour Windows XP (KB950759) Mise à jour de sécurité pour Windows XP (KB950760) Mise à jour de sécurité pour Windows XP (KB950762) Mise à jour de sécurité pour Windows XP (KB951376-v2) Mise à jour de sécurité pour Windows XP (KB951698) Mise à jour de sécurité pour Windows XP (KB951748) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB942763) Mozilla Firefox (3.0.1) MSXML 4.0 SP2 (KB936181) Navilog1 3.6.1 Spybot - Search & Destroy TubeMaster WebFldrs XP WIDCOMM Bluetooth Software Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 9028-4909 Répertoire de C:\Program Files 02/08/2008 09:53 . 02/08/2008 09:53 .. 21/07/2008 22:16 Alcatel 28/07/2008 12:59 BlackBerry Connect Desktop pour Sony Ericsson 21/07/2008 15:40 ComPlus Applications 21/07/2008 22:24 Fichiers communs 26/07/2008 22:31 Internet Explorer 21/07/2008 17:22 Kaspersky Lab 02/08/2008 09:24 Malwarebytes' Anti-Malware 21/07/2008 15:39 Messenger 21/07/2008 15:46 microsoft frontpage 21/07/2008 15:42 Movie Maker 02/08/2008 11:40 Mozilla Firefox 25/07/2008 09:52 Mozilla Firefox(2) 21/07/2008 15:38 MSN 21/07/2008 15:39 MSN Gaming Zone 29/07/2008 10:00 MSXML 4.0 02/08/2008 10:54 Navilog1 21/07/2008 15:42 NetMeeting 21/07/2008 15:39 Online Services 21/07/2008 15:42 Outlook Express 21/07/2008 15:44 Services en ligne 02/08/2008 09:54 Spybot - Search & Destroy 30/07/2008 18:31 TubeMaster 22/07/2008 08:13 WIDCOMM 21/07/2008 15:46 Windows Media Player 21/07/2008 15:39 Windows NT 21/07/2008 15:46 xerox 0 fichier(s) 0 octets 28 Rép(s) 76 116 533 248 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 9028-4909 Répertoire de C:\Program Files\fichiers communs 21/07/2008 22:24 . 21/07/2008 22:24 .. 28/07/2008 12:56 InstallShield 21/07/2008 16:06 Microsoft Shared 21/07/2008 15:42 MSSoap 21/07/2008 17:28 ODBC 21/07/2008 15:42 Services 21/07/2008 17:28 SpeechEngines 21/07/2008 15:41 System 0 fichier(s) 0 octets 9 Rép(s) 76 116 529 152 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 9028-4909 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 21/07/2008 16:06 . 21/07/2008 16:06 .. 18/05/2001 15:57 561 209 MSONSEXT.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 3 fichier(s) 811 179 octets 2 Rép(s) 76 116 529 152 octets libres c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 7.0.1.325\French\setup.exe c:\Documents and Settings\kipo\Application Data\U3 emp\cleanup.exe c:\Documents and Settings\kipo\Application Data\U3 emp\Launchpad Removal.exe c:\Documents and Settings\kipo\Bureau\dss.exe c:\Documents and Settings\kipo\Bureau\kipo.exe c:\Documents and Settings\kipo\Bureau\Navilog1.exe c:\Documents and Settings\kipo\Bureau\PROUT.exe.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\catchme.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\diff.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\dumphive.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\find2.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\Fport.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\grep.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\gzip.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\KProcCheck.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\LFiles.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\md5sums.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\pslist.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\sigcheck.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\streams.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp\swreg.exe c:\Documents and Settings\kipo\Bureau\DiagHelp\DiagHelp ar.exe c:\Documents and Settings\kipo\Local Settings\Temporary Internet Files\Content.IE5\Q7ATI9OV\cports[1]\cports.exe c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files emporaryFolder\AutoPatches\kav6\7.0.1.321\CKAHUM.dll c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files emporaryFolder\AutoPatches\kav6\7.0.1.321\diffs.dll c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files emporaryFolder\AutoPatches\kav6\7.0.1.321\Updater.dll c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files emporaryFolder\AutoPatches\kav6\7.0.1.321\Ushata.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_LIKPO.tar.gz a l'adresse http://upload.malekal.com

vralerie · Answer

Serait-il pble svp de me confirmer pour la suite.?
je crois posté le bon rapport.....

E..T · Answer

Oui c'est le bon rapport peux tu me dire quels sont les problèmes maintenant ?
++

E..T · Answer

Pour être sur :

Télécharger ComboFix (par sUBs) sur le Bureau

    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt

@++

vralerie · Answer

Désolée le petit dernier devait manger.....

J'ai malgré tout examiné avec spybot et voici ce qu'il à trouvé...



Le conseil du jour: Cliquez sur la barre située à droite pour voir plus d'informations! ()
  

PWS.LDPinchIE: [SBI $D845F869] Réglages (Clé du registre, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\poof

Tradedoubler: Cookie traceur (Internet Explorer: kipo) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Internet Explorer: kipo) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Internet Explorer: kipo) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Firefox: default) (Cookie, nothing done)
  


--- Spybot - Search & Destroy version: 1.6.0  (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-07-07 TeaTimer.exe (1.6.0.20)
2008-08-02 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-07-07 SDHelper.dll (1.6.0.12)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-07-22 Includes\Adware.sbi (*)
2008-07-15 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-07-29 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-07-10 Includes\Hijackers.sbi (*)
2008-07-08 Includes\HijackersC.sbi (*)
2008-07-29 Includes\Keyloggers.sbi (*)
2008-07-29 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-07-23 Includes\Malware.sbi (*)
2008-07-29 Includes\MalwareC.sbi (*)
2008-07-23 Includes\PUPS.sbi (*)
2008-07-29 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-07-29 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-07-23 Includes\Spyware.sbi (*)
2008-07-29 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-07-30 Includes\Trojans.sbi (*)
2008-07-29 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

E..T · Answer

Répond au message 31.
Et passe combofix.
++

vralerie · Answer

Comme tu me l' as  demandé j'ai télé télécharger ComboFix (par sUBs) et casi à la fin du télécjargementmo antivirus me dt que ce fichier comrend un code malicieux il est recomandé d'interdire le téléchargement...

Virus modification
 Heur.Invader

Le fichier:
...:www.forospyware.com/sUBs/ComboFix.exe...

Que dois-je faire maintenant.?

pour répondre à ta question précédente mon problème est que mon pc rame vraiment bcp,firefox prend +- 1 min pour s'ouvrir,quand je surf il faut un temp fou avant l'ouverture de celle-ci,si j'ouvre une deuxième page firefox là c'est pire l rame et plante même,quand j'écris à chaque mots,phrases, il manque toujours des lettres
je suis vraiment déçue car l faut avouer que l'on ne peut avoir plaisir à surfer de la sorte...
De plus mon disck dur et nouveau et casi vierge, sans oublier les "intrusion.MSSQL.etc."

chefpunky · Answer

c tout a fait normal.telecharge quand meme.

E..T · Answer

Continue et valide le téléchargement.
++

E..T · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe




-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


@++

vralerie · Answer

ok je continue l téléchargement et lancerais le scan....
j re pour poster la rapport ;o)
vraiment sympa....

E..T · Answer

Ca marche ;-)
@++

E..T · Answer

Ouep,
Moi je vais au boulot on voit la suite ce soir ;-)
@++

vralerie · Answer

Woups, tu travaille ce samedi bon courage et certainement à ce soir

je poste le rapport demandé ;o)
 
Deckard's System Scanner v20071014.68
Run by kipo on 2008-08-02 11:28:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
21: 2008-08-02 09:29:03 UTC - RP21 - Deckard's System Scanner Restore Point
20: 2008-08-01 16:08:32 UTC - RP20 - Point de vérification système
19: 2008-07-30 15:32:04 UTC - RP19 - Point de vérification système
18: 2008-07-29 08:00:27 UTC - RP18 - Software Distribution Service 3.0
17: 2008-07-29 05:13:09 UTC - RP17 - Software Distribution Service 3.0


-- First Restore Point -- 
1: 2008-07-21 14:06:23 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color]


-- HijackThis (run as kipo.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:40, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\kipo\Bureau\dss.exe
C:\DOCUME~1\kipo\Bureau\kipo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{187B2DF1-7C5A-4A3F-BD4E-CAD4ED597B16}: NameServer = 195.238.2.22 195.238.2.21
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

E..T · Answer

Poste un rapport hijackthis. ;-)
++

Rapport hijackthis

42 réponses

Votre réponse

Discussions similaires

Newsletters