Virus supprimé ????
Kaze37
Messages postés
529
Statut
Membre
-
Kaze37 Messages postés 529 Statut Membre -
Kaze37 Messages postés 529 Statut Membre -
Bonjour,
En analysant ma base de registre avec Malewarebytes'Anti-Malewares, deux virus à été détecté : Broken.SecurityProviders et Broken.OpenCommand.
Cependant après l'avoir supprimé, je constate des ralentissements...Je me pose alors cette question : Ce virus à t-il été supprimé correctement ou bien suivis-je victime d'un autre virus ???
Bon, je poste quand même un rapport HijackThis mais il doit être clean :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:13, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\found.002\dir0001.chk\Sauze Julien\Mes documents\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par ISP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
En analysant ma base de registre avec Malewarebytes'Anti-Malewares, deux virus à été détecté : Broken.SecurityProviders et Broken.OpenCommand.
Cependant après l'avoir supprimé, je constate des ralentissements...Je me pose alors cette question : Ce virus à t-il été supprimé correctement ou bien suivis-je victime d'un autre virus ???
Bon, je poste quand même un rapport HijackThis mais il doit être clean :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:13, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\found.002\dir0001.chk\Sauze Julien\Mes documents\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par ISP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:
- Virus supprimé ????
- Recuperer message whatsapp supprimé - Guide
- Voir message supprimé whatsapp - Guide
- Virus mcafee - Accueil - Piratage
- Comment supprimer un fichier qui refuse d'être supprimé - Guide
- Virus facebook demande d'amis - Accueil - Facebook
11 réponses
12/09/2008 a 21:52:02,90
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?
* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"
- NVIDIA Display Driver Service
* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.
* Redémarre ton système pour prendre en compte les modifications.
As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?
* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"
- NVIDIA Display Driver Service
* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.
* Redémarre ton système pour prendre en compte les modifications.
Les lignes de HijackThis que j'ai supprimées, c'étaient quoi exactement ??
Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!
Et encore merci
Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!
Et encore merci
Des programmes inutiles au démarrage, ça permet d'éviter des lenteurs et suconsommation de ressources système inutiles. Malwarebytes peut très bien s'être trompé, méfiance donc quand on supprime !
Normalement, si tu n'as pas supprimé ce qui est en quarantaine, tout y est encore.
Peux-tu faire ceci, car un dossier me semble suspect !
¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip
Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici
Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html
Peux-tu faire ceci, car un dossier me semble suspect !
¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip
Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici
Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html
DiagHelp version v1.4 - http://www.malekal.com
excute le 13/04/2008 à 17:41:52,21
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06
C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\system32
02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\Downloaded Program Files
25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
excute le 13/04/2008 à 17:41:52,21
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06
C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\system32
02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\Downloaded Program Files
25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
Voilà le rapport :
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
C'était un virus important ??
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
C'était un virus important ??
