Application win32 invalide???

La section des versions NT, 2000, et XP de windows : informations, problèmes, questions, avis ou dépannages y trouveront leur place.

Modérateur: Modérateurs

Application win32 invalide???

Messagepar jazu1414 » 18 Avr 2008 08:55

Hello tout le monde

J'ai une chose bizarre qui se passe: lorsque je fais: clique droit sur le bureau=>nouveau=>document texte, mon icone est toute blanche et lorsque je veux l'ouvrir, j'ai une fenètre qui vient me disant que C:\...\...\Bureau\Nouveau document texte.txt n'est pas une application Win32 valide

Quelqu'un peut me dire ce qui se passe???



Merci d'avance pour votre aide
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 18 Avr 2008 22:13

Bonsoir, cela peut venir d'infections coriaces, on doit faire deux vérifications.

Voici comment démarrer, pour la première :
:arrow: Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 08:43

Salut falkra et merci pour ta réponse...

Seulement voilà il y a un HIC, je ne peux pas ouvrir le bloc-note, (voir mon précédent post) en fait c'est le sujet du problème.
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 11:09

Essaie wordpad pour ouvrir le rapport et le poster, en attendant.
Il est dans c:\resultat.txt
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:17

Re falkra
je sais pas si je suis nul ou quoi, mais impossible d'enregister le rapport avec wordpad ou alors il y a une manip à faire quelque part... :plaf:

Et en plus il n'y a rien dans C:
Dernière édition par jazu1414 le 19 Avr 2008 15:19, édité 1 fois.
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 15:18

Si le fichier c:\resultat.txt existe, le rapport a été créé.
Wordpad servirait à l'ouvrir, pour le lire et copier coller le contenu pour le poster.

Tu n'es pas nul, ton pc a un problème, pas toi. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:21

Alors y vraiment un os quelque part, car dans C:\je n'ai pas ce dossier: resultat.txt
Je viens de refaire un scan... :crazy:
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 15:25

Oublions. Utilise HijackThis, fais do a system scan and save a logfile.
Il va t'afficher l'erreur, mais dans le dossier où est hijackthis, normalement donc sur le bureau, tu dois avoir ce fichier rapport (hijackthis.log).

Uploade-le comme pièce jointe à ton message, via le forum. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:34

Ok alors voyons ce que cela donne...
le fichiers avec l'extention log ou txt n'est pas autorisé; me dit-on
PS: pour info; en faisant "do a system scan and save a logfile" je n'ai aucun fichier sauvegardé.
Par contre si je fais: Do a system scan only et que je clique au fond pour enregistrer, c'est bon

Attends, c'est bon.
J'ai changé l'extention en .txt et j'ai pu l'ouvrir avec wordpad.

Je post dans le message suivant le rapport.
Dernière édition par jazu1414 le 19 Avr 2008 15:37, édité 1 fois.
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 15:36

Ok, alors envoie le rapport, en l'uploadant ici en pièce jointe de ton post :
en dessous de aperçu envoyer sauvegarder annuler, tu as les commandes pour parcourir (chercher le fichier), ajouter le fichier, et envoyer dans le contenu du post. Ensuite tu fais envoyer sur les commandes habituelles du post.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:38

Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:47, on 19.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Messenger\Msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\WSTARTUP\Clavier\Clavier.exe
C:\Program Files\WSTARTUP\TaskKiller\TaskKiller.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Documents and Settings\CocciV.5\Bureau\La Mule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\CocciV.5\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fluo.com/?m=XP_Coccinelle
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fluo.com/?m=Ronsard,%20lol
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Vistadrv] I:\Jauge Hdd\Vista\systool\Vistadrive\vsdrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Clavier.lnk = C:\Program Files\WSTARTUP\Clavier\Clavier.exe
O4 - Global Startup: IcoSauve.lnk = C:\Program Files\WSTARTUP\IcoSauve\IcoSauve.exe
O4 - Global Startup: TaskKiller.lnk = C:\Program Files\WSTARTUP\TaskKiller\TaskKiller.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AD8766B-A18C-4776-845A-7FED9C7855DA}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{5AD8766B-A18C-4776-845A-7FED9C7855DA}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{5AD8766B-A18C-4776-845A-7FED9C7855DA}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8497 bytes
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 15:40

Curieux, il est posté normalement finalement ? Bon l'essentiel c'est de l'avoir hein.

C'est quoi clavier et task killer, ce sont des programmes installés par tes soins ?
C:\Program Files\WSTARTUP\Clavier\Clavier.exe
C:\Program Files\WSTARTUP\TaskKiller\TaskKiller.exe

Est-ce un windows modifié ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:43

Ce sont des log instalé par mes soins, et ceux-ci sont sur.
J'ai sur plusieurs pc le même os, et sur les autres je n'ai aucun soucis...
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 15:49

Si c'est le même OS, attrape sur l'un d'entre eux où ut n'as pas ce problème le fichier suivant :
c:\windows\notepad.exe
Et copie-le au même emplacement sur le pc qui a le problème avec, en écrasant.

Vois ce que ça donne. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 15:57

Mais sinon au niveau du rapport, il te semble des choses pas très catholique?
Ou tout va bien?

Donc j'ai fais un copier-coller du notepad.exe.
Quand je cré un nouveau document texte, l'icone est OK, par contre en voulant l'ouvrir j'ai encore cette fenètre qui vient...
Peut-etre devrais-je redémarer le machine?
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 16:07

Le rapport est clean. Mais ça ne suffit pas toujours à tout voir, d'où ma demande sur un rapport DiagHelp, complémentaire.
Si ça ne donne rien avec DiagHelp il y a d'autres programmes, ce serait un test intéressant d'ailleurs.

Essaie de réparer d'abord notepad.exe, puis de refaire un rapport DiagHelp.
Si ça ne passe pas, indique moi ce qui ne va pas, et on vois si on peut bidouiller, sinon je te fais utiliser un autre programme. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 16:12

Alors c'est pas encore résolu...
Poursuivons.
C'est quoi ton diaghelp? ou le télécharger?

Je te suis dans les manoeuvres...
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 16:18

Hôôô, j'ai juste oublié de te le donner à faire. :plaf:
(je voulais grouper les rapports, et j'ai finalement retiré la partie ci dessous) :ptdr:

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.
  • Décompresse-le, sur ton bureau par exemple.
  • Un nouveau dossier chercher va être créé DiagHelp.
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  • :!: Le rapport est sauvegardé dans c:\resultat.txt si jamais tu fermes le bloc notes. Il faudra aller le chercher là sinon, le rapport n'est pas sur le bureau.

    NB : si un antivirus détecte Troj/INJECT MF ou non approchant choisis "ignorer" c'est une fausse alerte.
    NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Application win32 invalide???

Messagepar jazu1414 » 19 Avr 2008 16:35

Voilà c'est fait, à toi la parole...

DiagHelp version v1.4 - http://www.malekal.com
excute le 19.04.2008 à 17:32:28.55


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->19.04.2008 17:32:08
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->19.04.2008 17:32:06
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->19.04.2008 17:31:28
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->19.04.2008 17:31:18
C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->19.04.2008 17:30:35
C:\WINDOWS\prefetch\QTTASK.EXE-342507FB.pf -->19.04.2008 17:12:35
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->19.04.2008 17:07:48
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->19.04.2008 17:06:41
C:\WINDOWS\prefetch\RUNDLL32.EXE-147710F4.pf -->19.04.2008 17:06:41
C:\WINDOWS\prefetch\ONECLICKSTARTER.EXE-1492110E.pf -->19.04.2008 17:00:00

C:\WINDOWS\System32\drivers\avipbb.sys -->18.04.2008 09:05:13
C:\WINDOWS\System32\drivers\PnkBstrK.sys -->29.03.2008 23:16:54
C:\WINDOWS\System32\drivers\pcouffin.sys -->04.02.2008 21:13:03
C:\WINDOWS\System32\drivers\npf.sys -->04.02.2008 18:27:49
C:\WINDOWS\System32\drivers\sptd.sys -->04.02.2008 17:35:43
C:\WINDOWS\System32\drivers\mrxdav.sys -->18.12.2007 11:51:35
C:\WINDOWS\System32\drivers\usbintel.sys -->25.11.2007 18:34:45

C:\WINDOWS\System32\wpa.dbl -->19.04.2008 09:36:04
C:\WINDOWS\System32\BASSMOD.dll -->11.04.2008 16:12:49
C:\WINDOWS\System32\uxtheme.dll -->10.04.2008 20:25:19
C:\WINDOWS\System32\FNTCACHE.DAT -->10.04.2008 20:18:12
C:\WINDOWS\System32\TuneUpDefragService.exe -->02.04.2008 19:39:22
C:\WINDOWS\System32\NOTEPAD.ini -->02.04.2008 18:16:15
C:\WINDOWS\System32\OggDSuninst.exe -->01.04.2008 20:59:19
C:\WINDOWS\System32\CoreAAC-uninstall.exe -->01.04.2008 20:59:15
C:\WINDOWS\System32\x264vfw.dll -->01.04.2008 20:57:24
C:\WINDOWS\System32\perfh00C.dat -->30.03.2008 18:49:46
C:\WINDOWS\System32\perfh009.dat -->30.03.2008 18:49:46
C:\WINDOWS\System32\perfc00C.dat -->30.03.2008 18:49:46
C:\WINDOWS\System32\perfc009.dat -->30.03.2008 18:49:46
C:\WINDOWS\System32\PerfStringBackup.INI -->30.03.2008 18:49:45
C:\WINDOWS\System32\JkDefrag.log -->30.03.2008 17:44:12
C:\WINDOWS\System32\PnkBstrB.exe -->29.03.2008 23:16:22
C:\WINDOWS\System32\PnkBstrA.exe -->29.03.2008 23:16:17
C:\WINDOWS\System32\win32k.sys -->20.03.2008 09:56:50
C:\WINDOWS\System32\uxtuneup.dll -->27.02.2008 13:15:14
C:\WINDOWS\System32\dtu_fr.qm -->21.02.2008 04:11:34
C:\WINDOWS\System32\DivXCodecVersionChecker.exe -->21.02.2008 04:03:42
C:\WINDOWS\System32\dnsrslvr.dll -->20.02.2008 20:50:24
C:\WINDOWS\System32\gdi32.dll -->20.02.2008 08:52:42
C:\WINDOWS\System32\dnsapi.dll -->20.02.2008 07:20:23
C:\WINDOWS\System32\keys.txt -->13.02.2008 21:57:07

C:\WINDOWS\WindowsUpdate.log -->19.04.2008 14:35:22
C:\WINDOWS\KB944338.log -->19.04.2008 09:37:43
C:\WINDOWS\wiaservc.log -->19.04.2008 09:36:32
C:\WINDOWS\wiadebug.log -->19.04.2008 09:36:32
C:\WINDOWS\0.log -->19.04.2008 09:36:04
C:\WINDOWS\bootstat.dat -->19.04.2008 09:36:03
C:\WINDOWS\SchedLgU.Txt -->18.04.2008 20:15:07
C:\WINDOWS\ntbtlog.txt -->13.04.2008 14:08:09
C:\WINDOWS\NeroDigital.ini -->11.04.2008 17:13:18
C:\WINDOWS\setupapi.log -->10.04.2008 20:41:43
C:\WINDOWS\BricoPackUninst.txt -->10.04.2008 20:25:19
C:\WINDOWS\BricoPackUninst.cmd -->10.04.2008 20:25:19
C:\WINDOWS\BricoPackFoldersDelete.cmd -->10.04.2008 20:25:19
C:\WINDOWS\BricoPack Wallpaper.bmp -->10.04.2008 20:25:15
C:\WINDOWS\tsoc.log -->10.04.2008 20:08:49

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 2008
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xcd000 7.00.6000.20733 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.20733 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x13420000 0x1a000 11.00.5721.5145 C:\Program Files\Windows Media Player\wmpband.dll
0x018c0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x44360000 0x5cd000 7.00.6000.20733 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x139000 7.00.6000.20733 C:\WINDOWS\system32\urlmon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x01e80000 0x11000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
0x01ea0000 0xe000 1.09.0000.0000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
0x01fb0000 0x171000 6.14.0010.12002 C:\WINDOWS\system32\nview.dll
0x021e0000 0x50000 6.14.0010.12002 C:\WINDOWS\system32\NVWRSFR.DLL
0x02230000 0x12000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
0x01ed0000 0x15000 6.14.0011.6218 C:\WINDOWS\system32\nvwddi.dll
0x442b0000 0x63000 7.00.6000.20733 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x10000000 0x3e000 3.00.0003.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll
0x782e0000 0x10f000 8.00.50727.0832 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.832_x-ww_3c7408c9\MFC80U.DLL
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0832 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.832_x-ww_91c321c7\MFC80FRA.DLL
0x01e20000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x01e50000 0x9000 2.00.0000.0004 C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
0x01e60000 0x13000 7.00.0000.0011 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
0x02ff0000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCP71.dll
0x02930000 0x10000 5.03.0000.0198 C:\Program Files\MagicISO\misosh.dll
0x031b0000 0x202000 3.00.0001.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
0x781d0000 0x10f000 8.00.50727.0832 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.832_x-ww_3c7408c9\MFC80.DLL
0x74da0000 0x6d000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
0x034c0000 0x3cf000 0.04.0000.0101 C:\Program Files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll
0x03a10000 0x836000 6.14.0011.6218 C:\WINDOWS\system32\nvcpl.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x04250000 0x45000 6.14.0011.6218 C:\WINDOWS\system32\NVRSFR.DLL
0x042a0000 0x5a000 6.14.0011.6218 C:\WINDOWS\system32\nvapi.dll
0x04310000 0x73000 6.14.0010.12002 C:\WINDOWS\system32\nvshell.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x04980000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x044f0000 0x57000 C:\Program Files\TeraCopy\TeraCopy.dll
0x16210000 0x27e000 5.02.5721.5145 C:\WINDOWS\system32\wpdshext.dll
0x07160000 0x46000 5.02.5721.5145 C:\WINDOWS\system32\Audiodev.dll
0x15110000 0x25a000 11.00.5721.5145 C:\WINDOWS\system32\WMVCore.DLL
0x11c70000 0x3a000 11.00.5721.5238 C:\WINDOWS\system32\WMASF.DLL
0x00df0000 0xe000 1.00.0000.0002 C:\Program Files\UltraISO\isoshell.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1028
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\WINDOWS\temp

05.11.2004 10:29 208'896 alcupd.exe
27.10.2004 09:47 40'960 ChCfg.exe
17.11.2004 10:11 9'319'936 RTLCPL.exe
15.11.2004 12:20 77'824 soundman.exe
4 fichier(s) 9'647'616 octets
0 Rép(s) 21'966'221'312 octets libres

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\WINDOWS\system

17.07.2002 16:22 4'672 wowpost.exe
1 fichier(s) 4'672 octets
0 Rép(s) 21'966'213'120 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\WINDOWS\system32

19.08.2004 18:09 6'144 csrss.exe
1 fichier(s) 6'144 octets
0 Rép(s) 21'966'213'120 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\WINDOWS\Downloaded Program Files

05.02.2008 18:23 <REP> .
05.02.2008 18:23 <REP> ..
03.02.2008 21:28 65 desktop.ini
20.11.2007 17:04 1'523'536 FP_AX_CAB_INSTALLER.exe
20.11.2007 16:50 247 swflash.inf
3 fichier(s) 1'523'848 octets

Total des fichiers listés :
3 fichier(s) 1'523'848 octets
2 Rép(s) 21'966'213'120 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

REGEDIT4

[taskmgr.exe]


exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 17:32:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:11,b2,76,6d,e7,16,e1,29,6c,d2,0a,03,58,11,07,76,23,fa,95,93,0f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]
"ujdew"=hex:20,02,00,00,39,84,f7,cc,ac,c8,d0,25,29,57,65,39,51,0a,78,a1,21,..
"ljej40"=hex:55,eb,3f,a8,96,0b,73,4d,7c,56,6f,d5,b5,1a,9e,8c,fb,45,8e,33,09,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:11,b2,76,6d,e7,16,e1,29,6c,d2,0a,03,58,11,07,76,23,fa,95,93,0f,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
332 - avguard.exe
592 - svchost.exe
724 - ctfmon.exe
732 - LightScribeCont
740 - RocketDock.exe
756 - Msmsgs.exe
948 - rundll32.exe
964 - csrss.exe
1072 - services.exe
1084 - lsass.exe
1152 - YzShadow.exe
1244 - svchost.exe
1308 - svchost.exe
1360 - AppleMobileDevi
1372 - mDNSResponder.e
1392 - svchost.exe
1472 - svchost.exe
1548 - iexplore.exe
1596 - svchost.exe
1852 - nvsvc32.exe
1888 - PnkBstrA.exe
2008 - explorer.exe
2484 - avgnt.exe
3320 - alg.exe
3660 - cmd.exe
3852 - emule.exe

Total number of processes = 27
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CF000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA6A9000 - spkj.sys
BADAA000 - \WINDOWS\System32\Drivers\WMILIB.SYS
BA691000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
BA66A000 - Vax347b.sys
BA63B000 - ACPI.sys
BA62A000 - pci.sys
BA8A8000 - ohci1394.sys
BA8B8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
BA8C8000 - isapnp.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8D8000 - MountMgr.sys
BA60B000 - ftdisk.sys
BADAC000 - dmload.sys
BA5E5000 - dmio.sys
BAB30000 - PartMgr.sys
BA5D4000 - nvraid.sys
BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA8F8000 - VolSnap.sys
BA5BC000 - atapi.sys
BA5A7000 - nvatabus.sys
BADAE000 - Vax347s.sys
BA908000 - disk.sys
BA587000 - fltMgr.sys
BA575000 - sr.sys
BA55E000 - KSecDD.sys
BA4D1000 - Ntfs.sys
BA4A4000 - NDIS.sys
BA489000 - Mup.sys
BA451000 - \SystemRoot\system32\DRIVERS\tunmp.sys
BA958000 - \SystemRoot\system32\DRIVERS\processr.sys
BAB70000 - \SystemRoot\system32\DRIVERS\usbohci.sys
B9671000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BAB78000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9440000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
B941C000 - \SystemRoot\system32\drivers\portcls.sys
B392A000 - \SystemRoot\system32\drivers\drmk.sys
B1F1D000 - \SystemRoot\system32\drivers\ks.sys
B30D5000 - \SystemRoot\system32\DRIVERS\imapi.sys
B30C5000 - \SystemRoot\system32\DRIVERS\cdrom.sys
B30B5000 - \SystemRoot\system32\DRIVERS\redbook.sys
B38FA000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
B9698000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
B1E65000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
B1E31000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
B17B3000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B179F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B38F2000 - \SystemRoot\system32\DRIVERS\fdc.sys
B178E000 - \SystemRoot\system32\DRIVERS\serial.sys
B9694000 - \SystemRoot\system32\DRIVERS\serenum.sys
B38EA000 - \SystemRoot\system32\DRIVERS\irsir.sys
BAD8C000 - \SystemRoot\system32\DRIVERS\irenum.sys
B177A000 - \SystemRoot\system32\DRIVERS\parport.sys
B30A5000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
B38E2000 - \SystemRoot\system32\DRIVERS\mouclass.sys
B38DA000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B288E000 - \SystemRoot\system32\DRIVERS\audstub.sys
B2A2B000 - \SystemRoot\system32\DRIVERS\rasirda.sys
B2A23000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B3095000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAD98000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B173B000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
B3085000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
B3075000 - \SystemRoot\system32\DRIVERS\raspptp.sys
B172A000 - \SystemRoot\system32\DRIVERS\psched.sys
B3065000 - \SystemRoot\system32\DRIVERS\msgpc.sys
B2A1B000 - \SystemRoot\system32\DRIVERS\ptilink.sys
B2A13000 - \SystemRoot\system32\DRIVERS\raspti.sys
B3055000 - \SystemRoot\System32\Drivers\pcouffin.sys
B16A9000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
B3045000 - \SystemRoot\system32\DRIVERS\termdd.sys
BADB2000 - \SystemRoot\system32\DRIVERS\swenum.sys
B1650000 - \SystemRoot\system32\DRIVERS\update.sys
BA45D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
B2BCC000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B2BBC000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADB4000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B2BAC000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
B2A0B000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BADB6000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
B284A000 - \SystemRoot\System32\Drivers\Null.SYS
BADB8000 - \SystemRoot\System32\Drivers\Beep.SYS
B29FB000 - \SystemRoot\System32\drivers\vga.sys
BADBA000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BADBC000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
B29F3000 - \SystemRoot\System32\Drivers\Msfs.SYS
B29EB000 - \SystemRoot\System32\Drivers\Npfs.SYS
B4677000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AE4F5000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AE49D000 - \SystemRoot\system32\DRIVERS\tcpip.sys
AE475000 - \SystemRoot\system32\DRIVERS\netbt.sys
AE43D000 - \SystemRoot\system32\DRIVERS\tcpip6.sys
AE41B000 - \SystemRoot\System32\drivers\afd.sys
B2B7C000 - \SystemRoot\system32\DRIVERS\netbios.sys
B29E3000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
AE3F0000 - \SystemRoot\system32\DRIVERS\rdbss.sys
AE381000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
AE36C000 - \??\C:\Program Files\UltraISO\drivers\ISODrive.sys
B2B6C000 - \SystemRoot\System32\Drivers\Fips.SYS
AE34A000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B2522000 - \SystemRoot\system32\DRIVERS\Ip6Fw.sys
B2B5C000 - \SystemRoot\system32\DRIVERS\wanarp.sys
AE337000 - \SystemRoot\system32\DRIVERS\avipbb.sys
BAE06000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
AA8AA000 - \SystemRoot\System32\Drivers\Cdfs.SYS
BF800000 - \SystemRoot\System32\win32k.sys
AA972000 - \SystemRoot\System32\drivers\Dxapi.sys
B81E5000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAFA2000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
A98FA000 - \SystemRoot\system32\DRIVERS\irda.sys
A98E4000 - \SystemRoot\system32\DRIVERS\nwlnkipx.sys
B1E7D000 - \SystemRoot\system32\DRIVERS\nwlnknb.sys
BAD7C000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
BA988000 - \SystemRoot\system32\DRIVERS\rspndr.sys
A9881000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
A9844000 - \SystemRoot\system32\drivers\wdmaud.sys
BAA48000 - \SystemRoot\system32\drivers\sysaudio.sys
A948C000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BAE62000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A9464000 - \SystemRoot\System32\drivers\aspi32.sys
A939A000 - \SystemRoot\system32\DRIVERS\srv.sys
A9CC7000 - \SystemRoot\system32\DRIVERS\nwlnkspx.sys
A9061000 - \SystemRoot\System32\Drivers\HTTP.sys
A8262000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B857A000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
A8237000 - \SystemRoot\system32\drivers\kmixer.sys
BAEFA000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 133

Liste des programmes installes

AC3Filter (remove only)
Adobe Flash Player ActiveX
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
Astro Gemini Screensaver Manager 1.2
µTorrent
Avira AntiVir Personal – Free Antivirus
AviSynth 2.5
Battlefield 2(TM)
Bonjour
Client Windows Rights Management avec Service Pack 2
Commande ECHO désactivée.
ConvertXtoDVD 2.2.3.258
CoreAAC Audio Decoder (remove only)
Correctif pour Lecteur Windows Media 11 (KB939683)
D-Link VGA Webcam
Direct Show Ogg Vorbis Filter (remove only)
EssentialPIM Pro
EVEREST Home Edition v2.20
EVEREST Ultimate Edition v4.20
GOM Player
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB928788)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Format 11 SDK (KB929773)
Hotfix for Windows Media Format 11 SDK (KB932390)
Hotfix for Windows Media Player 11 (KB931756)
Hotfix for Windows XP (KB926239)
iTunes
Java(TM) 6 Update 3
Lame ACM MP3 Codec
Lecteur Windows Media 11
LightScribe 1.6.43.1
Magic ISO Maker v5.4 (build 0251)
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de logiciel pour les Dossiers Web
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour pour Windows XP (KB896256)
Mise à jour pour Windows XP (KB942763)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
MPEG2 Codec(libmpeg2/mad)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero 8
NVIDIA Drivers
On2 VP7 Personal Edition
Pack Vista Inspirat 2 1.0
QuickTime
Real Alternative 1.51 Lite
Realtek AC'97 Audio
Ri4m v5.0.1d
Ripp-It Codec Pack v 4.2.6
Screensavers Installer Version 3
TeraCopy 1.22
TestLAB 2008 Evaluation
TuneUp Utilities 2008
UltraISO Premium V8.66
VideoLAN VLC media player 0.8.6b
Virtual DJ - Atomix Productions
WebFldrs XP
WinAVI Video Converter 8.0
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Messenger 5.1
Windows PowerShell(TM) 1.0
x264 Revision 573 x264.nl (remove only)
Yahoo! Install Manager
Yahoo! Widgets



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\Program Files

18.04.2008 19:53 <REP> .
18.04.2008 19:53 <REP> ..
01.04.2008 20:59 <REP> AC3Filter
04.02.2008 18:08 <REP> Alcohol Soft
15.03.2008 17:24 <REP> Apple Software Update
05.02.2008 18:05 <REP> Astro Gemini Software
13.02.2008 21:50 <REP> Avira
01.04.2008 20:09 <REP> AviSynth 2.5
04.02.2008 17:19 <REP> AvRack
11.02.2008 22:31 <REP> AxBx
15.03.2008 17:25 <REP> Bonjour
03.02.2008 21:27 <REP> ComPlus Applications
13.04.2008 14:09 <REP> DivX
29.03.2008 20:48 <REP> EA GAMES
18.04.2008 19:53 <REP> EssentialPIM Pro
29.03.2008 17:24 <REP> Fichiers communs
04.02.2008 22:32 <REP> GNU
11.04.2008 17:12 <REP> GRETECH
01.04.2008 20:57 <REP> Haali
15.03.2008 21:50 <REP> Internet Explorer
15.03.2008 17:25 <REP> iPod
15.03.2008 17:25 <REP> iTunes
03.02.2008 21:46 <REP> Java
18.11.2007 12:06 <REP> JEUX
05.02.2008 12:54 <REP> Lavalys
04.02.2008 17:57 <REP> MagicISO
03.02.2008 21:37 <REP> Messenger
03.02.2008 21:30 <REP> microsoft frontpage
03.02.2008 21:28 <REP> Movie Maker
03.02.2008 21:26 <REP> MSN Gaming Zone
03.02.2008 21:35 <REP> MSXML 4.0
03.02.2008 21:36 <REP> MSXML 6.0
05.02.2008 20:57 <REP> Nero
03.02.2008 21:28 <REP> NetMeeting
01.04.2008 20:58 <REP> On2 Technologies
15.03.2008 21:50 <REP> Outlook Express
15.03.2008 17:25 <REP> QuickTime
01.04.2008 20:57 <REP> Real Alternative
04.02.2008 17:19 <REP> Realtek Sound Manager
01.04.2008 20:51 <REP> Ripp-It Codec Pack
01.04.2008 20:12 <REP> Ripp-it_AM
05.02.2008 18:04 <REP> Screamer Radio
04.02.2008 20:36 <REP> Screensavers.com
05.02.2008 18:08 <REP> Solar System 3D Screensaver
04.02.2008 17:41 <REP> TeraCopy
02.04.2008 19:39 <REP> TuneUp Utilities 2008
04.02.2008 17:54 <REP> UltraISO
18.11.2007 21:09 <REP> UTILS
04.02.2008 17:22 <REP> uTorrent
05.02.2008 17:47 <REP> VideoLAN
11.03.2008 20:45 <REP> VirtualDJ
04.02.2008 21:13 <REP> VSO
01.04.2008 20:19 <REP> WinAVI Video Converter
03.02.2008 21:43 <REP> Windows Media Connect 2
15.03.2008 21:50 <REP> Windows Media Player
03.02.2008 21:26 <REP> Windows NT
15.03.2008 21:50 <REP> WinOSX
04.02.2008 17:11 <REP> WinRAR
23.11.2007 22:35 <REP> WSTARTUP
01.04.2008 20:57 <REP> x264
03.02.2008 21:30 <REP> xerox
28.02.2008 21:30 <REP> Yahoo!
0 fichier(s) 0 octets
62 Rép(s) 21'965'062'144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\Program Files\fichiers communs

29.03.2008 17:24 <REP> .
29.03.2008 17:24 <REP> ..
15.03.2008 17:24 <REP> Apple
04.02.2008 17:54 <REP> EZB Systems
04.02.2008 17:18 <REP> InstallShield
03.02.2008 21:45 <REP> Java
29.03.2008 17:24 <REP> LightScribe
03.02.2008 21:37 <REP> Microsoft Shared
03.02.2008 21:28 <REP> MSSoap
05.02.2008 20:59 <REP> Nero
03.02.2008 22:19 <REP> ODBC
03.02.2008 21:28 <REP> Services
03.02.2008 22:19 <REP> SpeechEngines
15.03.2008 21:50 <REP> System
04.02.2008 17:41 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
15 Rép(s) 21'965'062'144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC43-8286

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

03.02.2008 21:50 <REP> .
03.02.2008 21:50 <REP> ..
03.02.2008 21:35 <REP> 1036
17.09.2004 15:43 1'293'008 msonsext.dll
03.06.1999 13:09 122'937 MSOWS409.DLL
07.03.2001 08:00 127'033 MSOWS40c.DLL
17.09.2004 15:43 80'448 pkmws.dll
4 fichier(s) 1'623'426 octets
3 Rép(s) 21'965'058'048 octets libres




c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.6.1.9\iTunesSetupAdmin.exe
c:\Documents and Settings\CocciV.5\Application Data\inst.exe
c:\Documents and Settings\CocciV.5\Bureau\ATF-Cleaner.exe
c:\Documents and Settings\CocciV.5\Bureau\ELIBAGLA.BG%D8DB%D8%D8H.EXE
c:\Documents and Settings\CocciV.5\Bureau\HiJackThis.exe
c:\Documents and Settings\CocciV.5\Bureau\widgetsus.exe
c:\Documents and Settings\CocciV.5\Bureau\yahoo_installer.exe
c:\Documents and Settings\CocciV.5\Bureau\Battlefield 2, pas touch!!!\BF2.exe
c:\Documents and Settings\CocciV.5\Bureau\Complet uTorrent\MagicISO Maker v5.4 (Build 251) [CU Patch][h33t][matt14]\Patch.exe
c:\Documents and Settings\CocciV.5\Bureau\Complet uTorrent\MagicISO Maker v5.4 (Build 251) [CU Patch][h33t][matt14]\Setup_MagicISO.exe
c:\Documents and Settings\CocciV.5\Bureau\La Mule\emule.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier\GenProc_Beta\outil\sed-3.59.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier\GenProc_Beta\outil\swreg.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\catchme.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\diff.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\dumphive.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\find2.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\Fport.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\grep.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\gzip.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\KProcCheck.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\LFiles.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\md5sums.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\pslist.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\sigcheck.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\streams.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\swreg.exe
c:\Documents and Settings\CocciV.5\Bureau\Nouveau dossier (3)\DiagHelp\tar.exe
c:\Documents and Settings\CocciV.5\Local Settings\Application Data\Yahoo\Widget Engine\Widget Data\Neon Gauges\treeinfo.exe
c:\Documents and Settings\CocciV.5\Local Settings\Temporary Internet Files\Content.IE5\60BZM5MV\essentialpimpro2[1].exe
c:\Documents and Settings\CocciV.5\Local Settings\Temporary Internet Files\Content.IE5\IO426EWU\GOMPLAYERENSETUP[1].EXE
c:\Documents and Settings\CocciV.5\Local Settings\Temporary Internet Files\Content.IE5\R3AJM1WH\HiJackThis[1].exe
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aecore.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeemu.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aegen.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aehelp.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeheur.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeoffice.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aepack.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aerdl.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescn.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescript.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aevdf.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_V3-5-GRISE.tar.gz a l'adresse http://upload.malekal.com
Avatar de l’utilisateur
jazu1414
Libellulien Junior
Libellulien Junior
 
Messages: 314
Inscription: 30 Oct 2003 19:57
Localisation: valais

Re: Application win32 invalide???

Messagepar Falkra » 19 Avr 2008 16:40

As-tu été infecté dernièrement par le virus Bagle ? (je vois elibagla qui traîne)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Suivante

Retourner vers Windows NT, 2000, XP

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités