Sujet Précédent Sujet Suivant

Win32:rootkit-gen[RTK]

Résolu/Fermé
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008 - 25 août 2008 à 08:45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 7 déc. 2008 à 00:52
Bonjour,

Je viens d'acheter un nouveau pc et et les virus ne perde pas leur temps ^^ !
Je possède avast antivirus version 4.8

Nom: Klif.sys
localisation : c:\windows\system32\drivers
virus: win32:rootkit-gen [RTK]

J'ai essayé de le supprimer et de le mettre en quarantaine avec avast mais rien n'y fait il réapparait sans cesse!
Quelqu'un serait-il la procédure a suivre pour le supprimer définitivement ?

Merci pour votre aide!

80 réponses

Précédent
Réponse 21 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 11:45
bizard ...

Fais ce-ci maintenant :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Réponse 22 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 11:49
Mmmm de plus en plus bizar je peux meme pas installer le logiciel ca me dit

"c:\.....\bureau\mbam-setup.exe n'est pas une application win32 valide....
0
Réponse 23 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 11:56
Ahhh ? ... peut-être que tout s'explique ...


Fais ce-ci pour voir :

Télécharges FindB de Chiquitine29 sur ton bureau :

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar


1) Extrait le contenu de l'archive sur ton bureau

2) Double clic sur FindB

3) Post le rapport FindB.txt dans ton prochain message

note le rapport FindB.txt est sauvegardé a la racine du disque
0
Réponse 24 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:07
+- FindB mis a jours le 21/08/08 par Chiquitine29



+- Recherche de fichier infectueux :




+- Recherche dans : C:\WINDOWS\Prefetch :




+- Recherche dans : C:\WINDOWS\system32 :




+- Recherche dans : C:\WINDOWS\system32\drivers :




+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :


C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )


+- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Alcmtr REG_SZ ALCMTR.EXE
AppleSyncNotifier REG_SZ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
TaskSwitchXP REG_SZ C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
RocketDock REG_SZ "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
amva REG_SZ C:\WINDOWS\system32\amvo.exe
kamsoft REG_SZ C:\WINDOWS\system32\ckvo.exe


+- Registre, recherche Srosa :



+- Recherche terminee !



+- Execute le : 25/08/2008 a 12:07:03,95
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 12:12
Ok ... en plus tu es infecté par un bagle , ce qui explique les échecs précédant !

je ne sais pas ce que tu as fait avec ton PC , mais c'est la totale ! Et tu pourras dire merci à ton potes qui t'as installé un Windows cracké et deplus infecté par de belles sa****ries ! ^^

Donc , Infection par un bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

Note : si tu as déjà le "Elibagla" sur ton PC -> supprimes le !!!

2- tu vas faire ceci dans l'ordre indiqué et en respectant les consignes .
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

A -Tout en bas de cette page tu trouveras un outil à télécharger,
cliques sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
choisis --->"enregistrer " ---> et enregistres le à la racine de ton disk dur et pas ailleur !
( c.a.d. ici -> C:\Elibagla.XXXXX.exe )

B- Puis clik droit sur ce dernier et choisi "renommé" : tapes " mdelk.exe " .

Note :
/!\ Attention, un mauvais renommage rendra l'astuce et la désinfection inefficace !


Déconnectes toi et fermes toutes tes applications en cours (si tu en as ...).


C- Pour exécuter Elibagla renommé :

Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (pour ouvrir le Menu Démarrer -> "Exécuter")
Dans la boîte de dialogue "Exécuter" taper : cmd et valider

Dans la fenêtre de "l'invite de commande" qui s'ouvra, taper :
C:\mdelk.exe et Valider avec la touche [Entrée]

L'outil ce lance :
-->laisses la case "eliminar ficheros automaticamente" coché .
-->cliques sur " explorar " .
-->laisses-le travailler
-->Enfin postes le rapport final qui sera dans " C:\infosat.txt "

PS : Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

Envoies ce(s) fichier(s) (dans l'exemple C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

--> L'outil a rencontré un fichier qu'il reconnaît mais ne sait pas encore éradiquer ...

3- Une fois le scan terminé : redémarres le pc, c'est très important.

Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
Dès que le menu principal d'Elibagla apparaîtra :
- Laisser la case "Eliminar ficheros automaticamente" cochée
- Clic sur "Explorar" pour lancer le scan complet du pc.
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître ...

--> postes ce nouveau rapport pour analyse et attends la suite ...
0
Réponse 26 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:35
premier rapport


Mon Aug 25 12:32:14 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Aug 25 12:32:19 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3690
Nº Total de Ficheros: 30051
Nº de Ficheros Analizados: 4231
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0



je redemarre le pc
0
Réponse 27 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:41
au redémarrage le programme ne c'est pas relancé.... normal ?
0
Réponse 28 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 12:43
Oui car les composantes principales du bagle ne sont plus apprement ... On va détruire les restes autrement ;)

Fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 29 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:48
ComboFix 08-08-24.02 - Administrateur 2008-08-25 12:46:16.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2557 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\InfoSat.txt
C:\krg62.cmd
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
D:\Autorun.inf
D:\krg62.cmd
D:\yssjnngm.cmd
F:\83l3v.cmd
F:\Autorun.inf
F:\MS32DLL.dll.vbs
F:\yssjnngm.cmd

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 ))))))))))))))))))))))))))))))))))))
.

2008-08-25 12:17 . 2008-08-25 12:16 55,819 --a------ C:\mdelk.exe
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\xircom
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\oobe
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\npp
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\msagent
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\Program Files\microsoft frontpage
2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-08-25 11:05 . 2008-08-25 11:05 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-25 10:58 . 2008-08-25 11:09 <REP> d-------- C:\SDFix
2008-08-25 10:24 . 2008-08-25 10:42 <REP> d-------- C:\SmitfraudFix
2008-08-25 10:24 . 2008-08-25 10:20 1,574,524 --a------ C:\SmitfraudFix.exe
2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-25 10:22 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-25 10:04 . 2008-08-25 10:04 <REP> d-------- C:\Program Files\7-Zip
2008-08-25 08:47 . 2008-08-25 08:47 <REP> d-------- C:\Program Files\Trend Micro
2008-08-24 19:57 . 2008-08-25 08:10 90,120 -r-hs---- C:\n.com
2008-08-23 11:26 . 2008-08-23 10:40 90,366 -r-hs---- C:\mnl6on3.com
2008-08-21 19:05 . 2008-08-21 19:05 <REP> d-------- C:\Program Files\Belkin
2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32\netmw143.sys
2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\netmw145.sys
2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys
2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf
2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32\netmw14x.cat
2008-08-20 14:40 . 2008-08-20 14:40 <REP> d-------- C:\Program Files\Alwil Software
2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-08-20 01:28 . 2008-08-20 01:28 <REP> d-------- C:\Logs
2008-08-19 13:32 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\iPod
2008-08-19 12:39 . 2008-08-19 12:39 <REP> d-------- C:\Program Files\Safari
2008-08-18 19:20 . 2008-08-18 19:20 <REP> d-------- C:\Program Files\uTorrent
2008-08-18 19:20 . 2008-08-20 01:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-08-18 18:56 . 2008-08-18 18:56 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts
2008-08-18 18:54 . 2008-08-18 18:54 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-18 18:53 . 2008-08-18 18:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-17 05:27 . 2008-08-20 01:36 <REP> d-------- C:\Program Files\World of Warcraft
2008-08-17 05:27 . 2008-08-17 05:27 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment
2008-08-16 15:19 . 2008-08-20 14:04 <REP> d-------- C:\Program Files\WowCartographe
2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg
2008-08-16 15:07 . 2008-08-16 15:07 <REP> d-------- C:\Program Files\TeamSpeak 3
2008-08-16 15:07 . 2008-08-16 15:07 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\teamspeak2
2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
2008-08-16 07:09 . 2008-08-16 07:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini
2008-08-16 07:01 . 2008-08-16 07:01 <REP> d-------- C:\Program Files\Activision
2008-08-16 06:59 . 2008-08-16 06:59 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-08-15 21:35 . 2008-08-15 21:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-08-15 21:34 . 2008-08-15 21:34 <REP> d-------- C:\Program Files\VideoLAN
2008-08-15 13:20 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\iTunes
2008-08-15 13:20 . 2008-08-15 13:20 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-15 13:19 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\QuickTime
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Program Files\Bonjour
2008-08-15 13:19 . 2008-08-19 18:47 <REP> d-------- C:\Program Files\Apple Software Update
2008-08-15 13:19 . 2008-08-15 13:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-08-15 08:45 . 2008-08-15 08:45 <REP> d-------- C:\WINDOWS\BricoPacks
2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-08-15 05:47 . 2008-08-15 05:47 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft
2008-08-15 05:42 . 2008-08-15 05:42 <REP> d-------- C:\WINDOWS\system32\Atheros_L1e
2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys
2008-08-15 05:32 . 2008-08-15 05:32 <REP> d-------- C:\Program Files\Realtek
2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll
2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-08-15 05:26 . 2008-08-21 19:05 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-08-15 05:26 . 2008-08-15 05:31 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2008-08-15 05:26 . 2008-08-15 05:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient
2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat
2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat
2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml
2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml
2008-08-15 05:16 . 2008-08-15 05:16 <REP> d-------- C:\WINDOWS\ASUSInstAll
2008-08-15 05:13 . 2008-08-15 05:13 <REP> d-------- C:\Program Files\Intel
2008-08-15 05:13 . 2008-08-15 05:13 <REP> d-------- C:\Intel
2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll
2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini
2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-08-15 05:10 . 2008-08-15 05:10 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-08-15 05:10 . 2008-08-15 05:10 <REP> d--hs---- C:\Documents and Settings\NetworkService
2008-08-15 05:10 . 2008-08-20 14:41 <REP> d--hs---- C:\Documents and Settings\LocalService
2008-08-15 05:10 . 2008-08-25 10:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-08-15 05:10 . 2008-08-15 06:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-15 05:10 . 2008-08-15 05:03 <REP> d-------- C:\Documents and Settings\Administrateur\nro.log
2008-08-15 05:10 . 2008-08-15 06:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-08-15 05:10 . 2008-08-18 18:57 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-15 05:10 . 2006-10-30 01:40 <REP> d-------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-08-15 05:10 . 2008-08-15 05:01 <REP> d-------- C:\Documents and Settings\Administrateur\IXP000.TMP
2008-08-15 05:10 . 2008-08-16 15:13 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-08-15 05:10 . 2008-08-25 12:44 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-15 05:10 . 2008-08-25 12:36 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage réseau
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nsy6FC.tmp
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nsw6FA.tmp
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nro.log
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Modèles
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Mes documents
2008-08-15 05:08 . 2006-10-30 01:40 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Menu Démarrer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 06:46 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-08-15 04:25 --------- d-----w C:\Program Files\counter-strike
2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2
2006-06-24 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

------- Sigcheck -------

2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll

2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers\tcpip.sys

2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32\ntkrnlpa.exe

2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32\ntoskrnl.exe

2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe

2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360]
"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utilitaire sans fil Belkin.lnk - C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe [2008-08-21 19:05:26 1576960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Sierra\\FEARCombat\\FEARMP.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57]
R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57]
R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45]
S3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43]

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydjum.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ig
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 12:47:08
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-25 12:47:32
ComboFix-quarantined-files.txt 2008-08-25 10:47:30

Pre-Run: 10,528,550,912 octets libres
Post-Run: 10,515,927,040 octets libres

249
0
Réponse 30 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:49
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:17, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 31 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 12:52
En effet le bagle n'est plus apparent surement parce que j'ai supprimé tout mes crak et keygen ^^

Je reviens d'une lan... merci les lan c'est pour ca :p lol
0
Réponse 32 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 13:06
Vu l'heure tu as du prendre une pause miam !

Je ne suis pas un genie en informatique mais d'apres le rapport il me semble que ceci a marché? si tu peux me confirmer la chose lol!

En tout cas merci pour le temps que tu as passé pour m'aider et les reponses rapides !! je t'en remercie fortement!
0
Réponse 33 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 13:27
la suite :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
C:\mdelk.exe
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe
C:\Documents and Settings\Administrateur\Application Data\m\list.oct
C:\Documents and Settings\Administrateur\Application Data\m\data.octt
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct
c:\windows\system32\drivers\Klif.sys

Folder::
C:\Documents and Settings\Administrateur\Application Data\m
C:\Documents and Settings\Administrateur\Application Data\m\shared

Driver::
Klif


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 34 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 13:49
Je nest pas eu de fenetre bleu me demandant de choisir entre 1 et 2....

ca ma quand meme lance un scan

ComboFix 08-08-24.02 - Administrateur 2008-08-25 13:33:39.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2582 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\Administrateur\Application Data\m\data.octt
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe
C:\Documents and Settings\Administrateur\Application Data\m\list.oct
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct
C:\mdelk.exe
c:\windows\system32\drivers\Klif.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\mdelk.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 ))))))))))))))))))))))))))))))))))))
.

2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\xircom
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\oobe
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\system32\npp
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\WINDOWS\msagent
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\Program Files\microsoft frontpage
2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-08-25 11:05 . 2008-08-25 11:05 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-25 10:58 . 2008-08-25 11:09 <REP> d-------- C:\SDFix
2008-08-25 10:24 . 2008-08-25 10:42 <REP> d-------- C:\SmitfraudFix
2008-08-25 10:24 . 2008-08-25 10:20 1,574,524 --a------ C:\SmitfraudFix.exe
2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-25 10:22 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-25 10:04 . 2008-08-25 10:04 <REP> d-------- C:\Program Files\7-Zip
2008-08-25 08:47 . 2008-08-25 08:47 <REP> d-------- C:\Program Files\Trend Micro
2008-08-24 19:57 . 2008-08-25 08:10 90,120 -r-hs---- C:\n.com
2008-08-23 11:26 . 2008-08-23 10:40 90,366 -r-hs---- C:\mnl6on3.com
2008-08-21 19:05 . 2008-08-21 19:05 <REP> d-------- C:\Program Files\Belkin
2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32\netmw143.sys
2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\netmw145.sys
2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys
2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf
2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32\netmw14x.cat
2008-08-20 14:40 . 2008-08-20 14:40 <REP> d-------- C:\Program Files\Alwil Software
2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-08-20 01:28 . 2008-08-20 01:28 <REP> d-------- C:\Logs
2008-08-19 13:32 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\iPod
2008-08-19 12:39 . 2008-08-19 12:39 <REP> d-------- C:\Program Files\Safari
2008-08-18 19:20 . 2008-08-18 19:20 <REP> d-------- C:\Program Files\uTorrent
2008-08-18 19:20 . 2008-08-20 01:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-08-18 18:56 . 2008-08-18 18:56 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts
2008-08-18 18:54 . 2008-08-18 18:54 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-18 18:53 . 2008-08-18 18:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-17 05:27 . 2008-08-20 01:36 <REP> d-------- C:\Program Files\World of Warcraft
2008-08-17 05:27 . 2008-08-17 05:27 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment
2008-08-16 15:19 . 2008-08-20 14:04 <REP> d-------- C:\Program Files\WowCartographe
2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg
2008-08-16 15:07 . 2008-08-16 15:07 <REP> d-------- C:\Program Files\TeamSpeak 3
2008-08-16 15:07 . 2008-08-16 15:07 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\teamspeak2
2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
2008-08-16 07:09 . 2008-08-16 07:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini
2008-08-16 07:01 . 2008-08-16 07:01 <REP> d-------- C:\Program Files\Activision
2008-08-16 06:59 . 2008-08-16 06:59 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-08-15 21:35 . 2008-08-15 21:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-08-15 21:34 . 2008-08-15 21:34 <REP> d-------- C:\Program Files\VideoLAN
2008-08-15 13:20 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\iTunes
2008-08-15 13:20 . 2008-08-15 13:20 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-15 13:19 . 2008-08-19 13:32 <REP> d-------- C:\Program Files\QuickTime
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Program Files\Bonjour
2008-08-15 13:19 . 2008-08-19 18:47 <REP> d-------- C:\Program Files\Apple Software Update
2008-08-15 13:19 . 2008-08-15 13:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-08-15 13:19 . 2008-08-15 13:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-08-15 08:45 . 2008-08-15 08:45 <REP> d-------- C:\WINDOWS\BricoPacks
2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-08-15 05:47 . 2008-08-15 05:47 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft
2008-08-15 05:42 . 2008-08-15 05:42 <REP> d-------- C:\WINDOWS\system32\Atheros_L1e
2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys
2008-08-15 05:32 . 2008-08-15 05:32 <REP> d-------- C:\Program Files\Realtek
2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll
2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-08-15 05:26 . 2008-08-25 13:00 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-08-15 05:26 . 2008-08-15 05:31 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2008-08-15 05:26 . 2008-08-15 05:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient
2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat
2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat
2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml
2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml
2008-08-15 05:16 . 2008-08-15 05:16 <REP> d-------- C:\WINDOWS\ASUSInstAll
2008-08-15 05:13 . 2008-08-15 05:13 <REP> d-------- C:\Program Files\Intel
2008-08-15 05:13 . 2008-08-15 05:13 <REP> d-------- C:\Intel
2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll
2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini
2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-08-15 05:10 . 2008-08-15 05:10 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-08-15 05:10 . 2008-08-15 05:10 <REP> d--hs---- C:\Documents and Settings\NetworkService
2008-08-15 05:10 . 2008-08-25 12:47 <REP> d--hs---- C:\Documents and Settings\LocalService
2008-08-15 05:10 . 2008-08-25 10:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-08-15 05:10 . 2008-08-15 06:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-15 05:10 . 2008-08-15 05:03 <REP> d-------- C:\Documents and Settings\Administrateur\nro.log
2008-08-15 05:10 . 2008-08-15 06:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-08-15 05:10 . 2008-08-18 18:57 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-15 05:10 . 2006-10-30 01:40 <REP> d-------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-08-15 05:10 . 2008-08-15 05:01 <REP> d-------- C:\Documents and Settings\Administrateur\IXP000.TMP
2008-08-15 05:10 . 2008-08-16 15:13 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-08-15 05:10 . 2008-08-25 13:33 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-15 05:10 . 2008-08-25 12:36 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage réseau
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nsy6FC.tmp
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nsw6FA.tmp
2008-08-15 05:08 . 2008-08-15 05:03 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\nro.log
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d--h----- C:\WINDOWS\system32\config\systemprofile\Modèles
2008-08-15 05:08 . 2008-08-15 06:52 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Mes documents
2008-08-15 05:08 . 2006-10-30 01:40 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Menu Démarrer
2008-08-15 05:08 . 2008-08-15 05:01 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\IXP000.TMP

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 11:01 --------- d-----w C:\Program Files\counter-strike
2008-08-15 06:46 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2
2006-06-24 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

------- Sigcheck -------

2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll

2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers\tcpip.sys

2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32\ntkrnlpa.exe

2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32\ntoskrnl.exe

2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe

2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2008-08-25_12.47.17.18 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-25 10:41:29 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-08-25 10:49:06 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-08-25 10:41:29 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-08-25 10:49:06 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-08-25 10:41:29 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-08-25 10:49:06 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-08-25 10:41:29 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-08-25 10:49:06 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360]
"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utilitaire sans fil Belkin.lnk - C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe [2008-08-21 19:05:26 1576960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57]
R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57]
R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54]
R3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 13:34:16
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-25 13:34:33
ComboFix-quarantined-files.txt 2008-08-25 11:34:31
ComboFix2.txt 2008-08-25 10:47:33

Pre-Run: 15,090,696,192 octets libres
Post-Run: 15,080,022,016 octets libres

249
0
Réponse 35 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 13:58
ok ...

1- On va nettoyer les outils utilisés et repartir sur des bases propres ,

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .


2- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

-> redémarre ton PC .


3- Tu vas retélécharger hijackthis ( car supprimeé par ToolsCleaner2) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

-->Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan de suite )


4- refais ce-ci ( cela devrais marcher maintenant ) :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Réponse 36 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 14:08
-->- Recherche:

C:\SmitFraudFix.exe: trouvé !
C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\SmitFraudfix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\SmitFraudfix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
Réponse 37 / 80
darksqual
25 août 2008 à 16:27
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1087
Windows 5.1.2600 Service Pack 3

16:14:13 25/08/2008
mbam-log-08-25-2008 (16-14-13).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Eléments examinés: 67369
Temps écoulé: 1 hour(s), 42 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\System Volume Information\_restore{D57C5EF9-A875-4C09-B5E4-2D06C613207C}\RP50\A0004578.exe (Trojan.Agent) -> Quarantined and deleted successfully.









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:51, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 38 / 80
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2008 à 16:35
Bien ...

1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

Tu cliques en bas sur le bouton FIX CHECKED et valides .


2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


3- Pour vérifier en profondeur,

Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...



0
Réponse 39 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 16:54
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 -
BitDefender 7.2 2008.08.25 -
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3385 2008.08.25 -
Norman 5.80.02 2008.08.25 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.25 -
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.25 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -
Information additionnelle
File size: 1576960 bytes
MD5...: d6ec4e6ebeddbbf7a10eb6ce8c5ec76f
SHA1..: 5ce3c4d5d6e6700eda3fff5a73fc6b637a8e5765
SHA256: 32c3a98ee33ca01ffa846d20b335deb7b7defae9297c6c502e35a5c51306131c
SHA512: 26dee23301a1fb7af23d67c7bc9a77fe092356df1324abbcf8f29b9f1cc21b12
45f3ff477f9c3044cb0f637a7fd162cff44eedf141a3a98c0834747c3c6fda55
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x468049
timedatestamp.....: 0x453debd0 (Tue Oct 24 10:32:48 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8eac3 0x8f000 6.33 a551bc7507d92c708fdf8c14aab597cf
.rdata 0x90000 0x1f2e4 0x20000 4.99 3b568a62dcfc6d8e6b8773adeba9d4f8
.data 0xb0000 0x6330 0x3000 4.16 672a9ef8ca533dda5dfe6db40779cdae
.rsrc 0xb7000 0xcdaf0 0xce000 3.58 2a0df1f9066ffc195ccad78153ff0952

( 19 imports )
> KERNEL32.dll: LoadLibraryA, FindClose, FindFirstFileA, GetSystemTime, GlobalFree, lstrcpyA, SetEvent, CreateEventA, GlobalAlloc, WaitForMultipleObjects, SystemTimeToTzSpecificLocalTime, FileTimeToSystemTime, DeleteFileA, MoveFileA, GetTickCount, TerminateThread, GlobalUnlock, GlobalLock, TerminateProcess, OpenProcess, GetSystemDirectoryA, GetPrivateProfileSectionA, VirtualAllocEx, ReadProcessMemory, VirtualFreeEx, InterlockedIncrement, ResetEvent, FreeResource, ResumeThread, GetWindowsDirectoryA, lstrcmpA, ReleaseMutex, CreateMutexA, MulDiv, lstrcpynA, HeapAlloc, SetLastError, GetCommandLineA, GetCurrentDirectoryA, FreeLibrary, GetCurrentProcess, FlushInstructionCache, GetCurrentThreadId, GetModuleHandleA, GetTempPathA, SetEnvironmentVariableA, SetStdHandle, IsBadCodePtr, IsBadReadPtr, GetFileType, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStdHandle, GetStringTypeA, UnhandledExceptionFilter, GetTimeZoneInformation, LCMapStringA, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualFree, HeapCreate, HeapDestroy, GetCurrentProcessId, QueryPerformanceCounter, HeapSize, HeapReAlloc, GetStartupInfoA, CreateThread, ExitThread, GetDateFormatA, GetTimeFormatA, GetSystemTimeAsFileTime, CreateProcessA, WaitForSingleObject, CloseHandle, Sleep, RaiseException, DeleteCriticalSection, InitializeCriticalSection, GetLastError, LoadResource, LockResource, SizeofResource, FindResourceA, GetModuleFileNameA, lstrlenA, lstrcmpiA, CompareStringA, GetVersion, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, HeapFree, VirtualQuery, GetSystemInfo, VirtualAlloc, RtlUnwind, ExitProcess, GetFileTime, GetFileAttributesA, FileTimeToLocalFileTime, SetErrorMode, FindResourceExA, GetOEMCP, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, GlobalFlags, CreateFileA, GetFullPathNameA, GetVolumeInformationA, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, WritePrivateProfileStringA, GetPrivateProfileIntA, GetCurrentThread, ConvertDefaultLocale, EnumResourceLanguagesA, VirtualProtect, SuspendThread, SetThreadPriority, InterlockedDecrement, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcatA, CopyFileA, GlobalSize, FormatMessageA, LocalFree, GetVersionExA
> ADVAPI32.dll: RegEnumKeyA, RegQueryValueExA, RegOpenKeyA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueA, RegCloseKey, RegDeleteKeyA, RegSetValueA
> USER32.dll: InvalidateRect, GetCursorPos, GetCapture, SetCapture, ClientToScreen, GetMonitorInfoA, MonitorFromPoint, IsRectEmpty, CopyRect, OffsetRect, GetClientRect, DrawFrameControl, SetRectEmpty, SetWindowRgn, RedrawWindow, RegisterClassExA, GetSysColorBrush, LoadCursorA, ReleaseCapture, SetWindowsHookExA, UnhookWindowsHookEx, PtInRect, EqualRect, InflateRect, CallNextHookEx, BringWindowToTop, ShowWindow, FindWindowA, SystemParametersInfoA, MessageBoxA, LoadIconA, RegisterDeviceNotificationA, CreatePopupMenu, DestroyIcon, SetForegroundWindow, GetDesktopWindow, UpdateWindow, GetQueueStatus, CloseClipboard, OpenClipboard, SetCaretPos, IsWindowVisible, EnumWindows, GetWindowThreadProcessId, DestroyCursor, GetFocus, SetCursor, UnionRect, DrawTextA, FillRect, DrawEdge, GetMenuItemCount, GetMenuItemInfoA, GetSubMenu, GetMenuItemID, AppendMenuA, LoadBitmapA, SetRect, IsWindow, PostQuitMessage, PeekMessageA, GetClassNameA, EnumChildWindows, MapWindowPoints, FrameRect, GetSystemMetrics, LoadImageA, GetDC, ReleaseDC, DrawIconEx, GetIconInfo, SetMenuDefaultItem, GetSysColor, PostMessageA, PostThreadMessageA, RegisterClipboardFormatA, KillTimer, SetTimer, GetParent, UnregisterClassA, GetWindowRect, SendMessageA, SendNotifyMessageA, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, CopyAcceleratorTableA, CharNextA, WindowFromPoint, DestroyMenu, SetWindowContextHelpId, MapDialogRect, GetAsyncKeyState, GetMessageA, CharUpperA, IsChild, EndDialog, GetNextDlgTabItem, IsWindowEnabled, GetDlgItem, DestroyWindow, CreateDialogIndirectParamA, SetActiveWindow, GetActiveWindow, RemoveMenu, InsertMenuA, GetMenuStringA, GetMenuState, GetWindow, GetWindowPlacement, IsIconic, IntersectRect, SetWindowPos, DefWindowProcA, GetDlgCtrlID, RegisterClassA, GetClassInfoA, ScreenToClient, AdjustWindowRectEx, GetMenu, GetScrollPos, GetKeyState, TrackPopupMenu, GetMessagePos, GetMessageTime, GetTopWindow, DispatchMessageA, GetLastActivePopup, GetForegroundWindow, GetWindowTextA, GetWindowTextLengthA, SetFocus, SendDlgItemMessageA, GetClassInfoExA, GetClassLongA, CreateWindowExA, WinHelpA, RegisterWindowMessageA, CheckRadioButton, IsDlgButtonChecked, IsDialogMessageA, SetWindowTextA, MoveWindow, GetMenuCheckMarkDimensions, CheckMenuItem, EnableMenuItem, ModifyMenuA, SetMenuItemBitmaps, TabbedTextOutA, DrawTextExA, GrayStringA, GetWindowDC, BeginPaint, EndPaint, wsprintfA, ValidateRect, TranslateMessage
> GDI32.dll: CopyMetaFileA, GetPixel, MaskBlt, SetTextColor, SetBkColor, DeleteDC, CreateDIBitmap, CreateBitmap, GetTextColor, SelectObject, CreatePen, Rectangle, SetPixel, BitBlt, SetBkMode, PatBlt, GetCurrentObject, GetDeviceCaps, GetTextExtentPoint32A, EqualRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, CreateRectRgn, FrameRgn, OffsetRgn, CreateSolidBrush, GetStockObject, StretchBlt, CreateCompatibleDC, CreateCompatibleBitmap, DeleteObject, CreateFontA, GetObjectA, GetRgnBox, GetBkColor, EnumFontFamiliesExA, DPtoLP, GetMapMode, CreateRectRgnIndirect, ExtSelectClipRgn, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, CreateFontIndirectA, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetWindowExtEx, GetViewportExtEx, SelectClipRgn, MoveToEx, LineTo, ExcludeClipRect, SetMapMode, SetStretchBltMode, SetViewportOrgEx, RestoreDC, SaveDC, GetClipBox
> SHELL32.dll: Shell_NotifyIconA, SHGetMalloc, ShellExecuteA, ShellExecuteExA, SHGetSpecialFolderLocation
> iphlpapi.dll: NotifyAddrChange, GetAdaptersInfo, IpRenewAddress, GetInterfaceInfo, GetIfEntry, IpReleaseAddress, GetNetworkParams
> WININET.dll: InternetCanonicalizeUrlA, InternetOpenUrlA, InternetSetFilePointer, InternetReadFile, InternetOpenA, InternetSetStatusCallback, InternetCloseHandle, InternetConnectA, FtpGetFileSize, FtpOpenFileA, FtpGetFileA, FtpSetCurrentDirectoryA
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInstanceIdA, SetupDiClassGuidsFromNameA, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo
> WINTRUST.dll: WinVerifyTrust
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> WSOCK32.dll: -, -, -, -
> COMCTL32.dll: -, -, ImageList_SetBkColor, ImageList_Draw, ImageList_GetIconSize, ImageList_GetIcon, ImageList_GetImageCount, ImageList_Add, ImageList_AddMasked, ImageList_GetImageInfo, ImageList_GetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy, PropertySheetA, DestroyPropertySheetPage, CreatePropertySheetPageA, ImageList_DrawIndirect
> CRYPT32.dll: CertFreeCertificateContext, CertOpenSystemStoreA, CertEnumCertificatesInStore, CertCloseStore, CertDuplicateCertificateContext, CertFindCertificateInStore, CertGetNameStringA, CertFindExtension, CryptDecodeObject, CertGetCertificateContextProperty
> SHLWAPI.dll: PathFindExtensionA, PathFindFileNameA, PathStripToRootA, PathIsUNCA
> ole32.dll: OleLoad, OleGetIconOfClass, CreateItemMoniker, CreateGenericComposite, StgOpenStorageOnILockBytes, GetHGlobalFromILockBytes, CoDisconnectObject, CoGetClassObject, OleGetClipboard, OleIsCurrentClipboard, OleFlushClipboard, OleSetMenuDescriptor, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoRevokeClassObject, CoRegisterMessageFilter, OleCreateStaticFromData, OleSetContainedObject, OleLockRunning, OleSaveToStream, WriteClassStm, OleSave, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, CLSIDFromString, CLSIDFromProgID, OleDuplicateData, ReleaseStgMedium, CoTaskMemAlloc, CreateBindCtx, CoTreatAsClass, StringFromCLSID, ReadClassStg, ReadFmtUserTypeStg, OleRegGetUserType, WriteClassStg, WriteFmtUserTypeStg, SetConvertStg, CoTaskMemFree, CreateStreamOnHGlobal
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WINSPOOL.DRV: OpenPrinterA, ClosePrinter, DocumentPropertiesA
> comdlg32.dll: GetOpenFileNameA, GetFileTitleA, GetSaveFileNameA
> oledlg.dll: -

( 0 exports )
0
Réponse 40 / 80
darksqual Messages postés 43 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 28 août 2008
25 août 2008 à 16:59
DiagHelp version v1.4 - http://www.malekal.com
excute le 25/08/2008 à 16:57:05,25


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->25/08/2008 16:16:51
C:\WINDOWS\prefetch\Layout.ini -->24/08/2008 19:28:02

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->17/08/2008 15:01:18
C:\WINDOWS\System32\drivers\mbam.sys -->17/08/2008 15:01:14
C:\WINDOWS\System32\drivers\PnkBstrK.sys -->16/08/2008 07:10:10
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->19/07/2008 16:37:42
C:\WINDOWS\System32\drivers\aswmon2.sys -->19/07/2008 16:37:21
C:\WINDOWS\System32\drivers\aswSP.sys -->19/07/2008 16:35:18
C:\WINDOWS\System32\drivers\aswRdr.sys -->19/07/2008 16:33:42

C:\WINDOWS\System32\PerfStringBackup.INI -->25/08/2008 16:49:49
C:\WINDOWS\System32\perfh00C.dat -->25/08/2008 16:49:49
C:\WINDOWS\System32\perfh009.dat -->25/08/2008 16:49:49
C:\WINDOWS\System32\perfc00C.dat -->25/08/2008 16:49:49
C:\WINDOWS\System32\perfc009.dat -->25/08/2008 16:49:49
C:\WINDOWS\System32\tmp.txt -->25/08/2008 10:41:07
C:\WINDOWS\System32\tmp.reg -->25/08/2008 10:41:07
C:\WINDOWS\System32\wpa.dbl -->24/08/2008 19:13:29
C:\WINDOWS\System32\CONFIG.NT -->23/08/2008 11:46:00
C:\WINDOWS\System32\404Fix.exe -->18/08/2008 12:19:03
C:\WINDOWS\System32\PnkBstrB.exe -->16/08/2008 07:10:00
C:\WINDOWS\System32\PnkBstrA.exe -->16/08/2008 07:09:54
C:\WINDOWS\System32\uxtheme.dll -->15/08/2008 08:46:16
C:\WINDOWS\System32\h323log.txt -->15/08/2008 06:55:44
C:\WINDOWS\System32\pid.PNF -->15/08/2008 06:45:00
C:\WINDOWS\System32\FNTCACHE.DAT -->15/08/2008 05:10:09
C:\WINDOWS\System32\$winnt$.inf -->15/08/2008 05:09:09
C:\WINDOWS\System32\nscompat.tlb -->15/08/2008 04:59:05
C:\WINDOWS\System32\amcompat.tlb -->15/08/2008 04:59:05
C:\WINDOWS\System32\WindowsLogon.manifest -->15/08/2008 04:58:28
C:\WINDOWS\System32\logonui.exe.manifest -->15/08/2008 04:58:28
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->15/08/2008 04:58:27
C:\WINDOWS\System32\sapi.cpl.manifest -->15/08/2008 04:58:27
C:\WINDOWS\System32\nwc.cpl.manifest -->15/08/2008 04:58:27
C:\WINDOWS\System32\ncpa.cpl.manifest -->15/08/2008 04:58:27

C:\WINDOWS\setupapi.log -->25/08/2008 16:48:49
C:\WINDOWS\0.log -->25/08/2008 16:15:51
C:\WINDOWS\WindowsUpdate.log -->25/08/2008 16:15:47
C:\WINDOWS\bootstat.dat -->25/08/2008 16:15:27
C:\WINDOWS\ntbtlog.txt -->25/08/2008 16:14:21
C:\WINDOWS\SchedLgU.Txt -->25/08/2008 14:29:08
C:\WINDOWS\system.ini -->25/08/2008 13:56:23
C:\WINDOWS\QTFont.qfn -->19/08/2008 12:09:33
C:\WINDOWS\REGLOCS.OLD -->18/08/2008 16:19:06
C:\WINDOWS\nsreg.dat -->18/08/2008 16:17:01
C:\WINDOWS\game.ini -->16/08/2008 07:09:53
C:\WINDOWS\QTFont.for -->15/08/2008 13:20:24
C:\WINDOWS\BricoPackUninst.txt -->15/08/2008 08:46:16
C:\WINDOWS\BricoPackUninst.cmd -->15/08/2008 08:46:16
C:\WINDOWS\BricoPackFoldersDelete.cmd -->15/08/2008 08:46:16

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1928
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x145000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xce000 7.00.6000.20815 C:\WINDOWS\system32\WININET.dll
0x00450000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.20815 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x01100000 0x196000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x01820000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.20815 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x139000 7.00.6000.20815 C:\WINDOWS\system32\urlmon.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x10000000 0x12000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
0x442b0000 0x63000 7.00.6000.20815 C:\WINDOWS\system32\webcheck.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
0x04880000 0x1db000 3.01.0000.0011 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x04bd0000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x05190000 0x13000 4.57.0000.0000 C:\Program Files\7-Zip\7-zip.dll
0x60990000 0x7000 3.01.4001.5512 C:\WINDOWS\system32\MSISIP.DLL
0x7e6a0000 0x16000 5.07.0000.16599 C:\WINDOWS\system32\wshext.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 912
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x24000 6.14.0010.4177 C:\WINDOWS\system32\Ati2evxx.dll
0x015b0000 0x32000 1.07.0069.0002 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x01840000 0x196000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 708F-F165

Répertoire de C:\WINDOWS\system32

03/05/2008 00:57 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 15 085 113 344 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 708F-F165

Répertoire de C:\WINDOWS\Downloaded Program Files

15/08/2008 06:38 <REP> .
15/08/2008 06:38 <REP> ..
15/08/2008 04:58 65 desktop.ini
1 fichier(s) 65 octets

Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 15 085 113 344 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 16:57:29
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
232 - usnsvc.exe
560 - PnkBstrA.exe
648 - PnkBstrB.exe
756 - iTunesHelper.ex
760 - ashDisp.exe
772 - TaskSwitchXP.ex
828 - Belkinwcui.exe
880 - csrss.exe
912 - winlogon.exe
960 - services.exe
972 - lsass.exe
1156 - svchost.exe
1224 - svchost.exe
1276 - svchost.exe
1464 - ati2evxx.exe
1488 - ashWebSv.exe
1536 - ashMaiSv.exe
1768 - ashServ.exe
1816 - iPodService.exe
1844 - AppleMobileDevi
1888 - mDNSResponder.e
1928 - explorer.exe
1944 - wmiprvse.exe
2372 - alg.exe
2380 - cmd.exe
3976 - firefox.exe

Total number of processes = 27
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
80737000 - \WINDOWS\system32\hal.dll
BA5A8000 - \WINDOWS\system32\KDCOM.DLL
BA4B8000 - \WINDOWS\system32\BOOTVID.dll
B9F78000 - ACPI.sys
BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
B9F67000 - pci.sys
BA0A8000 - isapnp.sys
BA0B8000 - ohci1394.sys
BA0C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
BA670000 - pciide.sys
BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA0D8000 - MountMgr.sys
B9F48000 - ftdisk.sys
BA5AC000 - dmload.sys
B9F22000 - dmio.sys
BA330000 - PartMgr.sys
B9F0A000 - atapi.sys
BA0E8000 - Si3112.sys
B9E2A000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
B9DF6000 - Si3114r5.sys
B9DE5000 - Si3124.sys
B9DD4000 - Si3132.sys
B9D9E000 - Si3132r5.sys
B9D68000 - Si3531.sys
BA0F8000 - disk.sys
BA108000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
B9D48000 - fltMgr.sys
B9D36000 - sr.sys
B9D1F000 - KSecDD.sys
B9C92000 - Ntfs.sys
B9C65000 - NDIS.sys
B9C4B000 - Mup.sys
BA198000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9784000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
B9770000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B9748000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA3A0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9724000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA3A8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
BA1A8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA1B8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B9701000 - \SystemRoot\system32\DRIVERS\ks.sys
BA554000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
BA1C8000 - \SystemRoot\system32\DRIVERS\l1e51x86.sys
BA1D8000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BA3B0000 - \SystemRoot\system32\DRIVERS\fdc.sys
BA5BC000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
B9668000 - \SystemRoot\system32\DRIVERS\serial.sys
BA55C000 - \SystemRoot\system32\DRIVERS\serenum.sys
BA1E8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BA3B8000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BA765000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA1F8000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA560000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9640000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA208000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA218000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BA3C0000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B962F000 - \SystemRoot\system32\DRIVERS\psched.sys
BA228000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BA3C8000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BA3D0000 - \SystemRoot\system32\DRIVERS\raspti.sys
BA5C0000 - \SystemRoot\System32\Drivers\RootMdm.sys
BA3D8000 - \SystemRoot\System32\Drivers\Modem.SYS
B955F000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BA258000 - \SystemRoot\system32\DRIVERS\termdd.sys
BA3E0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BA5C2000 - \SystemRoot\system32\DRIVERS\swenum.sys
B94D9000 - \SystemRoot\system32\DRIVERS\update.sys
BA588000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BA268000 - \SystemRoot\System32\Drivers\NDProxy.SYS
AD49D000 - \SystemRoot\system32\drivers\AtiHdAud.sys
AD479000 - \SystemRoot\system32\drivers\portcls.sys
BA298000 - \SystemRoot\system32\drivers\drmk.sys
BA2A8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BA5CE000 - \SystemRoot\system32\DRIVERS\USBD.SYS
ACFA9000 - \SystemRoot\system32\drivers\RtkHDAud.sys
BA3E8000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BA5D2000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BA7D3000 - \SystemRoot\System32\Drivers\Null.SYS
BA3F8000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BA400000 - \SystemRoot\System32\drivers\vga.sys
BA5D4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BA408000 - \SystemRoot\System32\Drivers\Msfs.SYS
BA410000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9553000 - \SystemRoot\system32\DRIVERS\rasacd.sys
ACE6E000 - \SystemRoot\system32\DRIVERS\ipsec.sys
ACE15000 - \SystemRoot\system32\DRIVERS\tcpip.sys
BA318000 - \SystemRoot\System32\Drivers\aswTdi.SYS
ACDC7000 - \SystemRoot\system32\DRIVERS\ipnat.sys
ACD9F000 - \SystemRoot\system32\DRIVERS\netbt.sys
ACD7D000 - \SystemRoot\System32\drivers\afd.sys
BA158000 - \SystemRoot\system32\DRIVERS\netbios.sys
ACD52000 - \SystemRoot\system32\DRIVERS\rdbss.sys
ACCE2000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BA178000 - \SystemRoot\System32\Drivers\Fips.SYS
ACCCB000 - \SystemRoot\System32\Drivers\aswSP.SYS
BA418000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
BA440000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
B960F000 - \SystemRoot\System32\Drivers\Cdfs.SYS
BA468000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
B955B000 - \SystemRoot\system32\DRIVERS\hidusb.sys
B95FF000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
ACE11000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
B95EF000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B95DF000 - \SystemRoot\system32\DRIVERS\arp1394.sys
ACC8B000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BA624000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
ACDFD000 - \SystemRoot\System32\drivers\Dxapi.sys
BA478000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
BA742000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\ati2dvag.dll
BF060000 - \SystemRoot\System32\ati2cqag.dll
BF0E8000 - \SystemRoot\System32\atikvmag.dll
BF14E000 - \SystemRoot\System32\atiok3x2.dll
BF18E000 - \SystemRoot\System32\ati3duag.dll
BF4E5000 - \SystemRoot\System32\ativvaxx.dll
BA380000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
AA9C2000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
AA71C000 - \SystemRoot\System32\Drivers\aswMon2.SYS
AA4AF000 - \SystemRoot\system32\drivers\wdmaud.sys
AAA2A000 - \SystemRoot\system32\drivers\sysaudio.sys
A9F19000 - \SystemRoot\system32\DRIVERS\srv.sys
A9ED5000 - \SystemRoot\System32\Drivers\aswRdr.SYS
A9976000 - \SystemRoot\system32\drivers\kmixer.sys
A98EE000 - \SystemRoot\system32\DRIVERS\NETMW145.sys
BA743000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 130

Liste des programmes installes

7-Zip 4.57
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver
ATI Display Driver
avast! Antivirus
Belkin N1 Wireless Desktop Card Setup
Bonjour
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM)
CCleaner (remove only)
HijackThis 2.0.2
iTunes
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft Visual C++ 2005 Redistributable
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Mozilla Firefox (3.0.1)
Nero 8 Lite 8.3.2.1
Pack Vista Inspirat 2 1.0
QuickTime
Realtek High Definition Audio Driver
Safari
Security Update pour Microsoft .NET Framework 2.0 (KB928365)
TaskSwitchXP
TeamSpeak 3
VideoLAN VLC media player 0.8.1
Windows Live Messenger
Windows Media Player Firefox Plugin
World of Warcraft
Wow Cartographe 1.08



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 708F-F165

Répertoire de C:\Program Files

25/08/2008 14:27 <REP> .
25/08/2008 14:27 <REP> ..
25/08/2008 10:04 <REP> 7-Zip
16/08/2008 07:01 <REP> Activision
02/06/2008 17:32 <REP> Ad-Aware
20/08/2008 14:40 <REP> Alwil Software
19/08/2008 18:47 <REP> Apple Software Update
05/05/2008 23:09 <REP> AusLogics Disk Defrag
05/05/2008 23:09 <REP> AusLogics Registry Defrag
12/05/2008 03:36 <REP> AusLogics System Information
21/08/2008 19:05 <REP> Belkin
15/08/2008 13:19 <REP> Bonjour
25/08/2008 14:14 <REP> CCleaner
15/08/2008 04:57 <REP> ComPlus Applications
25/08/2008 13:01 <REP> counter-strike
05/05/2008 23:16 <REP> Cpu-z
06/04/2008 17:01 <REP> EasyRecovery
06/04/2008 00:16 <REP> Everest
25/08/2008 13:56 <REP> Fichiers communs
05/04/2008 22:10 <REP> Foxit Reader
15/08/2008 05:13 <REP> Intel
25/08/2008 11:08 <REP> Internet Explorer
19/08/2008 13:32 <REP> iPod
19/08/2008 13:32 <REP> iTunes
25/08/2008 14:27 <REP> Malwarebytes' Anti-Malware
25/08/2008 11:08 <REP> microsoft frontpage
25/08/2008 11:08 <REP> movie maker
25/08/2008 16:21 <REP> Mozilla Firefox
18/08/2008 19:15 <REP> Mozilla Thunderbird
25/08/2008 11:08 <REP> msn gaming zone
15/08/2008 05:03 <REP> Nero
25/08/2008 11:08 <REP> netmeeting
05/05/2008 23:06 <REP> Occtpt
15/08/2008 04:58 <REP> Outlook Express
02/06/2008 17:24 <REP> Paint.NET
19/08/2008 13:32 <REP> QuickTime
15/08/2008 05:32 <REP> Realtek
05/05/2008 23:13 <REP> Recuva
19/08/2008 12:39 <REP> Safari
15/08/2008 03:53 <REP> Sierra
15/08/2008 05:02 <REP> TaskSwitchXP
16/08/2008 15:07 <REP> TeamSpeak 3
25/08/2008 14:20 <REP> Trend Micro
18/08/2008 19:20 <REP> uTorrent
15/08/2008 21:34 <REP> VideoLAN
18/08/2008 19:16 <REP> Windows Live
15/08/2008 04:56 <REP> Windows Media Connect 2
15/08/2008 04:59 <REP> Windows Media Player
25/08/2008 11:08 <REP> windows nt
15/08/2008 05:03 <REP> WinRAR
20/08/2008 01:36 <REP> World of Warcraft
20/08/2008 14:04 <REP> WowCartographe
25/08/2008 11:08 <REP> xerox
0 fichier(s) 0 octets
53 Rép(s) 15 084 535 808 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 708F-F165

Répertoire de C:\Program Files\fichiers communs

25/08/2008 13:56 <REP> .
25/08/2008 13:56 <REP> ..
15/08/2008 13:19 <REP> Apple
17/08/2008 05:27 <REP> Blizzard Entertainment
15/08/2008 05:31 <REP> InstallShield
25/08/2008 11:08 <REP> Microsoft Shared
15/08/2008 04:58 <REP> MSSoap
15/08/2008 05:03 <REP> Nero
15/08/2008 06:44 <REP> ODBC
15/08/2008 04:58 <REP> Services
25/08/2008 11:08 <REP> speechengines
15/08/2008 04:57 <REP> System
0 fichier(s) 0 octets
12 Rép(s) 15 084 535 808 octets libres




c:\Documents and Settings\Administrateur\Bureau\AmvoRemover.exe
c:\Documents and Settings\Administrateur\Bureau\ccsetup210.exe
c:\Documents and Settings\Administrateur\Bureau\C-Fix.exe
c:\Documents and Settings\Administrateur\Bureau\kavo_killer.exe
c:\Documents and Settings\Administrateur\Bureau\mbam-setup.exe
c:\Documents and Settings\Administrateur\Bureau\ToolsCleaner2.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Administrateur\IXP000.TMP\VCREDI~3.EXE
c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.7.1.11\SetupAdmin.exe
c:\Documents and Settings\Default User\IXP000.TMP\VCREDI~3.EXE
c:\Documents and Settings\Administrateur\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\DRWEB32.DLL

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PHILOU.tar.gz a l'adresse http://upload.malekal.com
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses