Se connecter / S'enregistrer
Votre question

publicités et alerte indiquant des infections

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Février 2008 21:28:12

Salut !


Cela fait environ une semaine que sur le PC portable de ma sœur des publicités pour des cite de rencontre et des alerte indiquant des infections envahisse son Bureau. J’ai pour temps lancer une analyse complète du PC et Norton internet sécurité ne trouve rien. Alors je me tourne ver vous pour que vous m’indiquer une solution pour vires ces m… (Restons polie^^)

Autres pages sur : publicites alerte indiquant infections

23 Février 2008 21:38:35

Salut,

Norton n'est pas une référence :p  :D 

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.
23 Février 2008 21:49:33

Ouep je sait:) 

voila le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:48, on 23.02.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ContextAdvisor - {87E68009-29A8-D669-F7C2-B31D08635C50} - C:\Program Files\ContextAdvisor\ContextAdvisor-3.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MBPlayer] "C:\Program Files\MB application\MBPlayer.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgct...
O16 - DPF: {44990B00-3C9D-426D-81DF-AAB636FA4345} (Symantec Configuration Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgct...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.c...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 8693 bytes
Contenus similaires
23 Février 2008 22:11:59

Re,

Télécharge Navilog (de Il-Mafioso)

Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en tant qu'administrateur". ( Pour Vista)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Le rapport se trouve ici :C:\fixnavi.txt

Si tu as vista, fais ceci avant :
Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )
23 Février 2008 22:29:55

Voila:


Search Navipromo version 3.4.7 commencé le 23.02.2008 à 22:23:25.27

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans C:\Users\Rachel\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Recherche dossiers dans C:\Users\Rachel\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\Rachel\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\Rachel\AppData\Local\Microsoft *

* Recherche dans C:\Users\Rachel\AppData\Local *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\Rachel\AppData\Local\Microsoft :


* Dans C:\Users\Rachel\AppData\Local :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 23.02.2008 à 22:28:13.90 ***
23 Février 2008 22:34:08

Bizarre ..
Je ne vois pas d'infection pourtant.

Supprime tout ce qui est relatif à ContextAdvisor

Notamment C:\Program Files\ContextAdvisor\

*******

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

Télécharge DiagHelp.zip (de Malekal) sur ton bureau (Tuto)
Dézippe le ,ouvre le nouveau dossier DiagHelp, et double-clic sur go.cmd (le .cmd peut ne pas apparaître ! )
Choisis l’option 1 dans la fenêtre qui s’ouvrira.
Ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand cela t’est demandé..

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

A la fin de l'analyse, ton ordi devra peut-être être redémarré... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve également >> C:\resultat.txt <<
Poste le rapport ici.

Si tu obtiens un fichier C:\upload_moi.zip, merci de l’envoyer sur http://upload.malekal.com/.
Tuto
23 Février 2008 22:58:15

voila:

DiagHelp version v1.4 - http://www.malekal.com
excute le 23.02.2008 à 22:54:14.57


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\Windows\prefetch\CHCP.COM-61043047.pf -->23.02.2008 22:54:09
C:\Windows\prefetch\CMD.EXE-4A81B364.pf -->23.02.2008 22:52:26
C:\Windows\prefetch\SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf -->23.02.2008 22:51:59
C:\Windows\prefetch\SEARCHFILTERHOST.EXE-77482212.pf -->23.02.2008 22:51:59
C:\Windows\prefetch\DLLHOST.EXE-5E46FA0D.pf -->23.02.2008 22:51:54
C:\Windows\prefetch\VERCLSID.EXE-7C52E31C.pf -->23.02.2008 22:51:42
C:\Windows\prefetch\WLLOGINPROXY.EXE-9E0DCEF8.pf -->23.02.2008 22:46:23
C:\Windows\prefetch\IEXPLORE.EXE-908C99F8.pf -->23.02.2008 22:46:23
C:\Windows\prefetch\TASKENG.EXE-48D4E289.pf -->23.02.2008 22:46:06
C:\Windows\prefetch\AU_.EXE-6FB9FBB8.pf -->23.02.2008 22:44:02

C:\Windows\System32\drivers\mrxdav.sys -->14.02.2008 02:31:24
C:\Windows\System32\drivers\WdfLdr.sys -->14.02.2008 02:30:24
C:\Windows\System32\drivers\Wdf01000.sys -->14.02.2008 02:30:24
C:\Windows\System32\drivers\sermouse.sys -->14.02.2008 02:30:23
C:\Windows\System32\drivers\mouhid.sys -->14.02.2008 02:30:23
C:\Windows\System32\drivers\mouclass.sys -->14.02.2008 02:30:23
C:\Windows\System32\drivers\kbdhid.sys -->14.02.2008 02:30:23

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 -->23.02.2008 22:30:51
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 -->23.02.2008 22:30:51
C:\Windows\System32\perfh00C.dat -->23.02.2008 19:37:15
C:\Windows\System32\perfh009.dat -->23.02.2008 19:37:15
C:\Windows\System32\perfc00C.dat -->23.02.2008 19:37:15
C:\Windows\System32\perfc009.dat -->23.02.2008 19:37:15
C:\Windows\System32\PerfStringBackup.INI -->23.02.2008 19:37:14
C:\Windows\System32\WebClnt.dll -->14.02.2008 02:31:24
C:\Windows\System32\wpd_ci.dll -->14.02.2008 02:30:26
C:\Windows\System32\umpnpmgr.dll -->14.02.2008 02:30:26
C:\Windows\System32\drvinst.exe -->14.02.2008 02:30:26
C:\Windows\System32\clfs.sys -->14.02.2008 02:30:26
C:\Windows\System32\cfgmgr32.dll -->14.02.2008 02:30:26
C:\Windows\System32\setupapi.dll -->14.02.2008 02:30:25
C:\Windows\System32\oleaut32.dll -->14.02.2008 02:30:25
C:\Windows\System32\kbd106n.dll -->14.02.2008 02:30:25
C:\Windows\System32\dpx.dll -->14.02.2008 02:30:25
C:\Windows\System32\f3ahvoas.dll -->14.02.2008 02:30:24
C:\Windows\System32\batt.dll -->14.02.2008 02:30:24
C:\Windows\System32\winresume.exe -->14.02.2008 02:30:23
C:\Windows\System32\kbd106.dll -->14.02.2008 02:30:23
C:\Windows\System32\dispci.dll -->14.02.2008 02:30:23
C:\Windows\System32\winload.exe -->14.02.2008 02:30:22
C:\Windows\System32\unlodctr.exe -->14.02.2008 02:30:22
C:\Windows\System32\prflbmsg.dll -->14.02.2008 02:30:22

C:\Windows\WindowsUpdate.log -->23.02.2008 19:34:17
C:\Windows\bootstat.dat -->23.02.2008 19:30:50
C:\Windows\PFRO.log -->23.02.2008 19:30:45
C:\Windows\setupact.log -->23.02.2008 17:06:53
C:\Windows\NCLogConfig.ini -->20.02.2008 20:49:21
C:\Windows\hpoins18.dat -->19.02.2008 15:55:50
C:\Windows\win.ini -->19.02.2008 15:53:38
C:\Windows\DPINST.LOG -->19.02.2008 15:47:08
C:\Windows\NeroDigital.ini -->15.02.2008 20:29:02
C:\Windows\MEMORY.DMP -->11.02.2008 00:13:51
C:\Windows\ODBC.INI -->06.02.2008 19:47:18
C:\Windows\explorer.exe -->03.02.2008 20:52:58
C:\Windows\msxml4-KB941833-enu.LOG -->03.02.2008 20:50:36
C:\Windows\TSSysprep.log -->02.02.2008 05:22:49
C:\Windows\DtcInstall.log -->02.02.2008 05:22:09

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 2180
Command line: C:\Windows\Explorer.EXE

Base Size Version Path
0x00d70000 0x2cd000 6.00.6000.16549 C:\Windows\Explorer.EXE
0x76fc0000 0x11e000 6.00.6000.16386 C:\Windows\system32\ntdll.dll
0x75b70000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll
0x75980000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll
0x75880000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll
0x77110000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll
0x75fc0000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll
0x76d10000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll
0x76e90000 0x55000 6.00.6000.16386 C:\Windows\system32\SHLWAPI.dll
0x76060000 0xace000 6.00.6000.16513 C:\Windows\system32\SHELL32.dll
0x75d60000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll
0x75cd0000 0x8c000 6.00.6000.16609 C:\Windows\system32\OLEAUT32.dll
0x72050000 0x107000 6.00.6000.16386 C:\Windows\system32\SHDOCVW.dll
0x74070000 0x3f000 6.00.6000.16386 C:\Windows\system32\UxTheme.dll
0x74bc0000 0x1a000 6.00.6000.16386 C:\Windows\system32\POWRPROF.dll
0x72ce0000 0xc000 6.00.6000.16386 C:\Windows\system32\dwmapi.dll
0x738d0000 0x1aa000 5.02.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127\gdiplus.dll
0x751c0000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll
0x742f0000 0xb7000 6.00.6000.16386 C:\Windows\system32\PROPSYS.dll
0x71ee0000 0x145000 6.00.6000.16386 C:\Windows\system32\BROWSEUI.dll
0x77160000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.dll
0x76ef0000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll
0x74040000 0x30000 6.00.6000.16386 C:\Windows\system32\DUser.dll
0x77100000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL
0x75c50000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll
0x74610000 0x194000 6.10.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll
0x732a0000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll
0x71dc0000 0x6000 6.00.6000.16386 C:\Windows\system32\IconCodecService.dll
0x75710000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll
0x75eb0000 0x84000 2001.12.6930.16386 C:\Windows\system32\CLBCatQ.DLL
0x74c60000 0x38000 6.00.6000.16386 C:\Windows\system32\rsaenh.dll
0x71a30000 0xb2000 6.00.6000.16549 C:\Windows\system32\timedate.cpl
0x74820000 0x14000 3.05.2284.0000 C:\Windows\system32\ATL.DLL
0x75580000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll
0x757e0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL
0x736e0000 0x38000 4.02.5406.0000 C:\Windows\system32\OLEACC.dll
0x71970000 0x53000 6.00.6000.16386 C:\Windows\system32\actxprxy.dll
0x75730000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll
0x719d0000 0x2b000 6.00.6000.16386 C:\Windows\system32\msutb.dll
0x74d20000 0xd7000 6.00.6000.16386 C:\Windows\system32\WINBRAND.dll
0x75360000 0x11000 6.00.6000.16386 C:\Windows\System32\SAMLIB.dll
0x756b0000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll
0x718f0000 0x3c000 6.00.6000.16404 C:\Windows\System32\msshsq.dll
0x71750000 0xc5000 6.00.6000.16386 C:\Windows\System32\NaturalLanguage6.dll
0x75200000 0xf1000 6.00.6000.16425 C:\Windows\System32\CRYPT32.dll
0x75340000 0x12000 6.00.6000.16386 C:\Windows\System32\MSASN1.dll
0x71230000 0x28c000 6.00.6000.16386 C:\Windows\System32\NLSData000c.dll
0x70630000 0x5f4000 6.00.6000.16386 C:\Windows\System32\NLSLexicons000c.dll
0x73c30000 0x1e7000 6.00.6000.16513 C:\Windows\system32\authui.dll
0x740b0000 0x5000 6.00.6000.16386 C:\Windows\system32\MSIMG32.dll
0x71d50000 0x9000 6.00.6000.16386 C:\Windows\system32\LINKINFO.dll
0x71c60000 0x7000 4.00.6000.16386 C:\Windows\system32\msiltcfg.dll
0x74fd0000 0x8000 6.00.6000.16386 C:\Windows\system32\VERSION.dll
0x73360000 0x204000 4.00.6000.16386 C:\Windows\system32\msi.dll
0x74be0000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL
0x75f70000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll
0x75950000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll
0x770e0000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll
0x70c60000 0x5cd000 7.00.6000.16609 C:\Windows\system32\ieframe.dll
0x76b30000 0x45000 7.00.6000.16386 C:\Windows\system32\iertutil.dll
0x75a40000 0x127000 7.00.6000.16609 C:\Windows\system32\urlmon.dll
0x73720000 0x33000 6.00.6000.16386 C:\Windows\system32\WINMM.dll
0x73b30000 0x30000 6.00.6000.16386 C:\Windows\system32\wdmaud.drv
0x74010000 0x4000 6.00.6000.16386 C:\Windows\system32\ksuser.dll
0x74ae0000 0x7000 6.00.6000.16386 C:\Windows\system32\AVRT.dll
0x74a10000 0x27000 6.00.6000.16386 C:\Windows\system32\MMDevAPI.DLL
0x70260000 0x4a000 6.00.6000.16386 C:\Windows\system32\ntshrui.dll
0x73fd0000 0xa000 6.00.6000.16386 C:\Windows\system32\cscapi.dll
0x73fc0000 0x9000 6.00.6000.16386 C:\Windows\system32\ExplorerFrame.dll
0x76dc0000 0xcf000 7.00.6000.16609 C:\Windows\system32\WININET.dll
0x770f0000 0x3000 6.00.6000.16386 C:\Windows\system32\Normaliz.dll
0x76b80000 0x189000 6.00.6000.16609 C:\Windows\system32\SETUPAPI.dll
0x74970000 0x2d000 6.00.6000.16386 C:\Windows\system32\WINTRUST.dll
0x75f40000 0x29000 6.00.6000.16470 C:\Windows\system32\imagehlp.dll
0x735e0000 0x21000 6.00.6000.16386 C:\Windows\System32\audioses.dll
0x73570000 0x66000 6.00.6000.16386 C:\Windows\System32\audioeng.dll
0x736b0000 0x9000 6.00.6000.16386 C:\Windows\system32\msacm32.drv
0x73620000 0x15000 6.00.6000.16386 C:\Windows\system32\MSACM32.dll
0x73610000 0x7000 6.00.6000.16386 C:\Windows\system32\midimap.dll
0x716a0000 0x92000 6.00.6000.16386 C:\Windows\system32\stobject.dll
0x6e3a0000 0xb6000 6.00.6000.16386 C:\Windows\system32\BatMeter.dll
0x74f50000 0x9000 6.00.6000.16553 C:\Windows\system32\WTSAPI32.dll
0x74fe0000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll
0x743b0000 0x45000 2001.12.6930.16386 C:\Windows\system32\es.dll
0x6f130000 0x30000 6.00.6000.16386 C:\Windows\System32\SndVolSSO.dll
0x6ecd0000 0x21000 6.00.6000.16386 C:\Windows\ehome\ehSSO.dll
0x74940000 0x9000 6.00.6000.16386 C:\Windows\system32\HID.DLL
0x6d900000 0x30b000 6.00.6000.16386 C:\Windows\System32\netshell.dll
0x75150000 0x19000 6.00.6000.16386 C:\Windows\System32\IPHLPAPI.DLL
0x75110000 0x35000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc.DLL
0x75380000 0x2b000 6.00.6000.16386 C:\Windows\System32\DNSAPI.dll
0x75100000 0x7000 6.00.6000.16386 C:\Windows\System32\WINNSI.DLL
0x750e0000 0x20000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc6.DLL
0x74ad0000 0xf000 6.00.6000.16386 C:\Windows\System32\nlaapi.dll
0x6dd60000 0x1bf000 6.00.6000.16386 C:\Windows\system32\pnidui.dll
0x71680000 0x17000 6.00.6000.16386 C:\Windows\system32\QUtil.dll
0x75170000 0x3e000 6.00.6000.16386 C:\Windows\system32\wevtapi.dll
0x740c0000 0x6000 6.00.6000.16386 C:\Windows\system32\wlanutil.dll
0x74af0000 0x63000 6.00.6000.16501 C:\Windows\system32\FirewallAPI.dll
0x71d90000 0x27000 6.00.6000.16386 C:\Windows\system32\FunDisc.dll
0x71a20000 0x9000 6.00.6000.16386 C:\Windows\system32\fdproxy.dll
0x6fed0000 0x8000 6.00.6000.16386 C:\Windows\System32\npmproxy.dll
0x6ff60000 0xe000 6.00.6000.16551 C:\Windows\system32\Wlanapi.dll
0x74210000 0x2d000 6.00.6000.16386 C:\Windows\system32\OneX.DLL
0x74490000 0xd000 6.00.6000.16386 C:\Windows\system32\eappprxy.dll
0x74100000 0x28000 6.00.6000.16386 C:\Windows\system32\eappcfg.dll
0x75030000 0x44000 6.00.6000.16386 C:\Windows\system32\bcrypt.dll
0x6ef20000 0xd000 6.00.6000.16386 C:\Windows\System32\AltTab.dll
0x6d730000 0x23000 6.00.6000.16386 C:\Windows\system32\wpdshserviceobj.dll
0x72b90000 0x5f000 6.00.6000.16386 C:\Windows\system32\WINHTTP.dll
0x6d6f0000 0x40000 6.00.6000.16386 C:\Windows\System32\srchadmin.dll
0x6d6b0000 0x3c000 7.00.6000.16386 C:\Windows\system32\webcheck.dll
0x6d270000 0x21c000 6.00.6000.16386 C:\Windows\System32\SyncCenter.dll
0x6dc10000 0x39000 6.00.6000.16386 C:\Windows\system32\wscntfy.dll
0x6f120000 0xb000 6.00.6000.16386 C:\Windows\system32\WSCAPI.dll
0x6dfc0000 0x2c000 6.00.6000.16386 C:\Windows\System32\QAgent.dll
0x72bf0000 0x8a000 6.00.6000.16386 C:\Windows\System32\fwpuclnt.dll
0x6d5f0000 0x51000 6.00.6000.16386 C:\Windows\system32\imapi2.dll
0x6e800000 0xb000 6.00.6000.16386 C:\Windows\system32\mssprxy.dll
0x6d650000 0x2b000 6.00.6000.16386 C:\Windows\system32\PortableDeviceTypes.dll
0x6fb30000 0x46000 6.00.6000.16386 C:\Windows\system32\PortableDeviceApi.dll
0x755f0000 0x5f000 6.00.6000.16386 C:\Windows\system32\SXS.DLL
0x6d4f0000 0xf9000 6.00.6000.16386 C:\Windows\system32\bthprops.cpl
0x7c340000 0x56000 7.10.3052.0004 C:\Windows\system32\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Windows\system32\MSVCP71.dll
0x6b770000 0x1f000 106.01.0001.0004 C:\Program Files\Common Files\Symantec Shared\ccVrTrst.dll
0x6ae70000 0x85000 106.01.0001.0004 C:\Program Files\Common Files\Symantec Shared\ccL60U.dll
0x74020000 0x7000 6.00.6000.16386 C:\Windows\system32\WSOCK32.dll
0x75300000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll
0x727c0000 0x5000 6.00.6000.16386 C:\Windows\system32\SFC.DLL
0x73f90000 0xd000 6.00.6000.16386 C:\Windows\system32\sfc_os.dll
0x74950000 0x14000 6.00.6000.16386 C:\Windows\system32\Cabinet.dll
0x73fe0000 0x22000 1.01.1002.0000 C:\Windows\system32\xmllite.dll
0x75080000 0x32000 6.00.6000.16386 C:\Windows\system32\ncrypt.dll
0x74fa0000 0x15000 6.00.6000.16386 C:\Windows\system32\GPAPI.dll
0x73b90000 0x19000 6.00.6000.16386 C:\Windows\system32\cryptnet.dll
0x71dd0000 0x6000 6.00.6000.16386 C:\Windows\system32\SensApi.dll
0x74f60000 0x3b000 6.00.6000.16386 C:\Windows\system32\mswsock.dll
0x74bb0000 0x6000 6.00.6000.16386 C:\Windows\System32\wshtcpip.dll
0x74fc0000 0x6000 6.00.6000.16386 C:\Windows\System32\wship6.dll
0x71d40000 0x8000 6.00.6000.16386 C:\Windows\System32\winrnr.dll
0x71c70000 0xf000 6.00.6000.16386 C:\Windows\system32\napinsp.dll
0x71af0000 0x12000 6.00.6000.16386 C:\Windows\system32\pnrpnsp.dll
0x729d0000 0x6000 6.00.6000.16386 C:\Windows\system32\rasadhlp.dll
0x6a000000 0x29000 14.01.0000.0027 C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll
0x10000000 0x4000 C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.loc
0x73ab0000 0x2e000 6.00.6000.16386 C:\Windows\system32\syncui.dll
0x73af0000 0x15000 6.00.6000.16386 C:\Windows\system32\SYNCENG.dll
0x714c0000 0x9b000 8.00.50727.0312 C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.312_none_10b2ee7b9bffc2c7\MSVCR80.dll
0x6ff30000 0x30000 6.00.6000.16386 C:\Windows\system32\MLANG.dll
0x79000000 0x45000 2.00.50727.0312 C:\Windows\system32\mscoree.dll
0x641f0000 0x1d000 2.00.50727.0312 C:\Windows\Microsoft.NET\Framework\v2.0.50727\Shfusion.dll
0x60610000 0x6000 2.00.50727.0312 C:\Windows\Microsoft.NET\Framework\v2.0.50727\Fusion.dll
0x60340000 0x8000 2.00.50727.0312 C:\Windows\Microsoft.NET\Framework\v2.0.50727\culture.dll
0x64220000 0x18000 2.00.50727.0312 C:\Windows\Microsoft.NET\Framework\v2.0.50727\fr\ShFusRes.dll
0x71560000 0x6000 6.00.6000.16386 C:\Windows\system32\dciman32.dll
0x6a990000 0x115000 6.00.6000.16386 C:\Windows\System32\appwiz.cpl
0x73b20000 0x8000 6.00.6000.16386 C:\Windows\System32\osbaseln.dll
0x6f6c0000 0x12000 6.00.6000.16386 C:\Windows\system32\thumbcache.dll
0x6f9b0000 0x171000 6.00.6000.16386 C:\Windows\system32\tquery.dll
0x6f850000 0x157000 6.00.6000.16386 C:\Windows\system32\query.dll
0x6ff70000 0x10000 6.00.6000.16386 C:\Windows\system32\msstrc.dll
0x6edb0000 0x56000 6.00.6000.16386 C:\Windows\system32\zipfldr.dll
0x6d140000 0x15000 1.01.1505.0000 C:\Program Files\Windows Defender\MpOav.dll
0x6cfb0000 0x60000 6.00.6000.16386 C:\Program Files\Common Files\microsoft shared\ink\tiptsf.dll
0x01a20000 0x10000 8.00.0000.0456 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 744
Command line: winlogon.exe

Base Size Version Path
0x00230000 0x4e000 6.00.6000.16386 C:\Windows\system32\winlogon.exe
0x76fc0000 0x11e000 6.00.6000.16386 C:\Windows\system32\ntdll.dll
0x75b70000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll
0x75980000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll
0x75880000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll
0x75fc0000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll
0x77110000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll
0x76d10000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll
0x75710000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll
0x74fe0000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll
0x757e0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL
0x75730000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll
0x77160000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.DLL
0x76ef0000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll
0x77100000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL
0x75c50000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll
0x756b0000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll
0x74be0000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL
0x75f70000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll
0x75950000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll
0x770e0000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll
0x75360000 0x11000 6.00.6000.16386 C:\Windows\system32\SAMLIB.dll
0x75d60000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll
0x74450000 0x3e000 6.00.6000.16386 C:\Windows\system32\SHSVCS.dll
0x74070000 0x3f000 6.00.6000.16386 C:\Windows\system32\uxtheme.dll
0x74c60000 0x38000 6.00.6000.16386 C:\Windows\system32\rsaenh.dll
0x732a0000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll
0x75580000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll
0x751c0000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll
0x75300000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll


Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est CAB5-5710

Répertoire de C:\Windows\system32

02.11.2006 10:45 7'680 csrss.exe
1 fichier(s) 7'680 octets
0 Rép(s) 111'624'237'056 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est CAB5-5710

Répertoire de C:\Windows\Downloaded Program Files

19.02.2008 15:12 <REP> .
19.02.2008 15:12 <REP> ..
18.09.2006 22:26 65 desktop.ini
28.11.2007 13:52 214 DivXPlugin.inf
20.11.2007 16:04 1'523'536 FP_AX_CAB_INSTALLER.exe
18.10.2007 10:04 341'296 HPDEXAXO.dll
18.10.2007 10:00 217 HPDEXAXO.inf
21.09.2001 16:28 16'202 sdclic.txt
06.09.2007 18:48 65'536 sshelper.exe
04.01.2008 09:51 144 swdir.inf
20.11.2007 15:50 247 swflash.inf
03.09.2007 09:14 283'936 tgctlcm.dll
06.09.2007 12:22 701 tgctlcm.inf
03.09.2007 09:14 1'156'384 tgctlsi.dll
06.09.2007 20:47 639 tgctlsi.inf
12.02.2008 15:18 581'592 tgctlsr.dll
12.02.2008 15:18 511 tgctlsr.inf
15 fichier(s) 3'971'220 octets

Total des fichiers listés :
15 fichier(s) 3'971'220 octets
2 Rép(s) 111'624'232'960 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]



exports des policies
REGEDIT4

[System]
"ConsentPromptBehaviorAdmin"=dword:00000002
"ConsentPromptBehaviorUser"=dword:00000001
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000000
"EnableSecureUIAPaths"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000

[System\UIPI]

[System\UIPI\Clipboard]

[System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-23 22:54:37
Windows 6.0.6000 NTFS

scanning hidden services & system hive ...

IPC error: 2 Le fichier spécifié est introuvable.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eeCtrl\Parameters]
"LastUsedDefs"="c:\progra~2\symantec\defini~1\virusd~1\"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xb4\xf8\xc0\1\xc9Z\31w\x161\xeb\34w\xfe\xff\xff\xffR~\34w\xb7\xc4\xddvP\xe6\xc0\1\xc4\xe6\xc0\1\xb9\xc3\xddv\xc0\xc4\xddv\3]
"C040110900063D11C8EF10054038389C"="C?\Windows\system32\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\\xd8\xea\xd8\xea]
"CacheSizeInMB"=dword:00000000
"CacheStatus"=dword:00000002
"USBVersion"=dword:00020000
"ReadSpeedKBs"=dword:00000000
"WriteSpeedKBs"=dword:00000000
"PhysicalDeviceSizeMB"=dword:0000d7c7
"RecommendedCacheSizeMB"=dword:00000000
"HasSlowRegions"=dword:00000000
"DoRetestDevice"=dword:00000000
"DeviceStatus"=dword:00000001
"LastTestedTime"=hex(b):00,00,00,00,00,00,00,00

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Sorry, this version supports only Win2K/XP

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Sorry, this version supports only Win2K/XP

Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est CAB5-5710

Répertoire de C:\Program Files

23.02.2008 22:46 <REP> .
23.02.2008 22:46 <REP> ..
07.02.2008 15:07 <REP> Adobe
01.09.2007 01:21 <REP> ATI
01.09.2007 01:22 <REP> ATI Technologies
19.02.2008 15:50 <REP> Common Files
01.09.2007 01:36 <REP> CyberLink
12.02.2008 19:04 <REP> DivX
19.02.2008 23:43 <REP> FBrowserAdvisor
19.02.2008 23:43 <REP> FBrowsingAdvisor
19.02.2008 15:50 <REP> Hewlett-Packard
19.02.2008 15:53 <REP> HP
14.02.2008 14:01 <REP> Internet Explorer
04.02.2008 21:50 <REP> Java
06.02.2008 22:54 <REP> Logiciels Antaress
01.02.2008 20:37 <REP> MB application
02.11.2006 13:37 <REP> Microsoft Games
06.02.2008 19:45 <REP> Microsoft Office
06.02.2008 19:44 <REP> Microsoft.NET
01.09.2007 01:24 <REP> Motorola
01.09.2007 01:22 <REP> Movie Maker
02.11.2006 13:37 <REP> MSBuild
02.11.2006 13:37 <REP> MSN
01.09.2007 01:26 <REP> MSXML 4.0
23.02.2008 22:28 <REP> Navilog1
01.02.2008 20:37 <REP> Nero
12.02.2008 15:22 <REP> Norton Internet Security
04.02.2008 22:02 <REP> OpenOffice.org 2.3
19.02.2008 23:42 <REP> PlayMP3z
02.11.2006 13:37 <REP> Reference Assemblies
01.02.2008 22:05 <REP> Symantec
23.02.2008 21:47 <REP> Trend Micro
01.09.2007 01:12 <REP> Windows Calendar
01.09.2007 01:22 <REP> Windows Collaboration
01.09.2007 01:12 <REP> Windows Defender
01.09.2007 01:22 <REP> Windows Journal
04.02.2008 14:58 <REP> Windows Live
04.02.2008 15:01 <REP> Windows Live Favorites
04.02.2008 15:01 <REP> Windows Live Toolbar
06.02.2008 16:48 <REP> Windows Mail
03.02.2008 20:54 <REP> Windows Media Player
02.11.2006 13:37 <REP> Windows NT
01.09.2007 01:22 <REP> Windows Photo Gallery
03.02.2008 20:54 <REP> Windows Sidebar
0 fichier(s) 0 octets
44 Rép(s) 111'678'464'000 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est CAB5-5710

Répertoire de C:\Program Files\common files

19.02.2008 15:50 <REP> .
19.02.2008 15:50 <REP> ..
07.02.2008 15:08 <REP> Adobe
01.02.2008 20:38 <REP> Ahead
06.02.2008 19:45 <REP> DESIGNER
01.09.2007 01:39 <REP> Fujitsu Siemens Computers
19.02.2008 15:50 <REP> Hewlett-Packard
19.02.2008 15:52 <REP> HP
01.09.2007 01:36 <REP> InstallShield
04.02.2008 21:50 <REP> Java
07.02.2008 15:28 <REP> microsoft shared
02.11.2006 12:18 <REP> Services
02.11.2006 12:18 <REP> SpeechEngines
12.02.2008 15:16 <REP> Symantec Shared
06.02.2008 19:45 <REP> System
0 fichier(s) 0 octets
15 Rép(s) 111'678'464'000 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est CAB5-5710

Répertoire de C:\

14.04.2006 23:05 9'952 regxpcom.exe
1 fichier(s) 9'952 octets
0 Rép(s) 111'678'464'000 octets libres





****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PC-de-Rachel.tar.gz a l'adresse http://upload.malekal.com
23 Février 2008 22:59:19

J'ai aussi ce raport qui est aparue sur sont Bureau:


catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-23 22:54:37
Windows 6.0.6000 NTFS

scanning hidden services & system hive ...

IPC error: 2 Le fichier spécifié est introuvable.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eeCtrl\Parameters]
"LastUsedDefs"="c:\progra~2\symantec\defini~1\virusd~1\"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xb4\xf8\xc0\1\xc9Z\31w\x161\xeb\34w\xfe\xff\xff\xffR~\34w\xb7\xc4\xddvP\xe6\xc0\1\xc4\xe6\xc0\1\xb9\xc3\xddv\xc0\xc4\xddv\3]
"C040110900063D11C8EF10054038389C"="C?\Windows\system32\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\\xd8\xea\xd8\xea]
"CacheSizeInMB"=dword:00000000
"CacheStatus"=dword:00000002
"USBVersion"=dword:00020000
"ReadSpeedKBs"=dword:00000000
"WriteSpeedKBs"=dword:00000000
"PhysicalDeviceSizeMB"=dword:0000d7c7
"RecommendedCacheSizeMB"=dword:00000000
"HasSlowRegions"=dword:00000000
"DoRetestDevice"=dword:00000000
"DeviceStatus"=dword:00000001
"LastTestedTime"=hex(b):00,00,00,00,00,00,00,00

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0




23 Février 2008 23:16:00

Re

Supprime :
  • C:\Program Files\FBrowserAdvisor
  • C:\Program Files\FBrowsingAdvisor

    Puis reposte un Hijackthis
    23 Février 2008 23:20:41

    voila:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:20:11, on 23.02.2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16609)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\RtHDVCpl.exe
    c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [MBPlayer] "C:\Program Files\MB application\MBPlayer.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgct...
    O16 - DPF: {44990B00-3C9D-426D-81DF-AAB636FA4345} (Symantec Configuration Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgct...
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.c...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

    --
    End of file - 8561 bytes
    24 Février 2008 00:02:30

    Les pubs continuent ?

    Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
    Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
    Double-clic sur clean.cmd. (L’extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé.
    Poste le rapport se trouve ici : C:\rapport_clean.txt

    Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.
    24 Février 2008 00:19:35

    alors pour le momment les pub ont cesser.
    merci de m'avoir aider enfin en espérent quelle ne réaparétront pas

    merci encore :) 


    PS: Je supose que je n'est pas besoi de télécharger Clean?
    24 Février 2008 00:21:05

    Si, fais-le quand même ;) 

    Je doute que les pubs soient parties (bien que je n'en vois pas l'origine !)
    24 Février 2008 15:21:10

    bonjour
    qu'est ce q context advisor?
    g du le desactiver pour acceder a internet
    ai je bien fait?
    24 Février 2008 15:26:24

    Citation :

    Posté le :
    23-02-2008 à 22:34:08

    Bizarre ..
    Je ne vois pas d'infection pourtant.

    Supprime tout ce qui est relatif à ContextAdvisor

    Notamment C:\Program Files\ContextAdvisor\
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS