j'ai téléchargé et installé AVG Anti-Rootkit et après une analyse,il me trouve un fichier a4u7jn62.SYS
qui se trouve dans windows\system32\Drivers
pour Rootkit type il indique : hidden driver file
quelqun pourrait m'aider svp? dois je supprimer ce fichier ou non? car après recherche avec google je n'ai rien trouvé
je suis sous XP Pro SP2
Est ce un rootkit?
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Un topic par machine, chacun crée le sien. 
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles). Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications). Un topic par machine, chacun crée le sien.
98 messages
• Page 1 sur 5 • 1, 2, 3, 4, 5
Est ce un rootkit?
par OG662 » 14 Jan 2008 22:11
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 14 Jan 2008 22:24
Bonsoir, oui, c'est bien une infection, et récente, je crois en avoir traitée une semblable il y a peu.
Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
ajoute un autre post avec un rapport DiagHelp, voici les instructions :
Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.
il me faut donc 2 posts, 1 rapport dans chaque. Bippe en cas de pépin, n'hésite pas à demander.
Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
ajoute un autre post avec un rapport DiagHelp, voici les instructions :Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.
- Décompresse-le, sur ton bureau par exemple.
- Un nouveau dossier chercher va être créé DiagHelp.
- Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet. - Le rapport est sauvegardé dans c:\resultat.txt si jamais tu le cherches
il me faut donc 2 posts, 1 rapport dans chaque. Bippe en cas de pépin, n'hésite pas à demander. -
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 14 Jan 2008 22:55
merci beaucoup pour la réponse,je dois donc supprimer le fichier?
voila le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:58, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\avgarkt.exe
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\7FTAfkjr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\XP\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: SafeIE Utility - {B5D4581D-ED6A-4905-A267-25BAF7BE79C1} - C:\WINDOWS\system32\safeie.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Spyware Doctor] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O8 - Extra context menu item: &Download all by WellGet - C:\Program Files\WellGet\nxall.htm
O8 - Extra context menu item: Download by &WellGet - C:\Program Files\WellGet\nxcatch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - C:\Program Files\WellGet\WellGet.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
voila le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:58, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\avgarkt.exe
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\7FTAfkjr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\XP\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: SafeIE Utility - {B5D4581D-ED6A-4905-A267-25BAF7BE79C1} - C:\WINDOWS\system32\safeie.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Spyware Doctor] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O8 - Extra context menu item: &Download all by WellGet - C:\Program Files\WellGet\nxall.htm
O8 - Extra context menu item: Download by &WellGet - C:\Program Files\WellGet\nxcatch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - C:\Program Files\WellGet\WellGet.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
Dernière édition par OG662 le 14 Jan 2008 23:15, édité 1 fois.
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par OG662 » 14 Jan 2008 23:10
J'ai eu 2 détections de trojan par Kaspersky qui n'ont pas été supprimés,2 dll
le message: le fichier contient un cheval de troie Trojan.Win32.Inject.mf , Suppression impossible : objet introuvable.
je supprime le fichier a4u7jn62.SYS??
le message: le fichier contient un cheval de troie Trojan.Win32.Inject.mf , Suppression impossible : objet introuvable.
je supprime le fichier a4u7jn62.SYS??
Dernière édition par OG662 le 14 Jan 2008 23:17, édité 1 fois.
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 14 Jan 2008 23:11
Il manque les premières lignes du rapport HJT, peux-tu les ajouter en éditant le post du rapport ?
Kaspersky va bien bosser, on finira les restes.
Kaspersky va bien bosser, on finira les restes.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par Falkra » 14 Jan 2008 23:21
Scanne ces 2 fichier avec Kaspersky, mets en quarantaine si il bippe :
C:\WINDOWS\system32\run.cmd
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\7FTAfkjr.exe
C:\WINDOWS\system32\run.cmd
C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\7FTAfkjr.exe
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 14 Jan 2008 23:36
Kaspersky me détecte un trojan (fichier nlbxeryk29DB624.dll) que je peux soit supprimer soit ignorer,lorsque je choisi supprimer,la suppression ne se fait pas car le fichier est introuvable!!! lorsque je vais dans le dossier es question il ne s'y trouve pas
dossier local settings puis dossier Temp
dossier local settings puis dossier Temp
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 14 Jan 2008 23:38
Ok, fais le rapport DiagHelp, et si Kaspersky bippe, fais ignorer (dans un premier temps), que j'aie la liste.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 20:57
désolé Falkra!!j'ai du m'arréter hier,je peux poster le résultat diaghelp maintenant?
il est long le résultat!!
il est long le résultat!!
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 20:57
Bien sûr, pas de problème. 
Normal pour la longueur.
Normal pour la longueur.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 21:11
DiagHelp version v1.4 - http://www.malekal.com
excute le 15/01/2008 à 21:06:10,87
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->15/01/2008 21:06:09
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->15/01/2008 21:04:41
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->15/01/2008 21:04:36
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->15/01/2008 21:04:36
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->15/01/2008 21:02:18
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->15/01/2008 21:01:31
C:\WINDOWS\prefetch\UPDCLIENT.EXE-215FC96B.pf -->15/01/2008 20:53:49
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->15/01/2008 20:32:57
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->15/01/2008 20:29:38
C:\WINDOWS\prefetch\GZIP.EXE-2ABE4329.pf -->15/01/2008 20:29:29
C:\WINDOWS\System32\drivers\fidbox.dat -->15/01/2008 21:04:13
C:\WINDOWS\System32\drivers\fidbox2.dat -->15/01/2008 21:04:08
C:\WINDOWS\System32\drivers\fidbox2.idx -->15/01/2008 20:22:09
C:\WINDOWS\System32\drivers\fidbox.idx -->15/01/2008 20:22:09
C:\WINDOWS\System32\drivers\klin.dat -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klif.sys -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klick.dat -->28/12/2007 15:06:18
C:\WINDOWS\System32\zllictbl.dat -->15/01/2008 20:38:12
C:\WINDOWS\System32\vsconfig.xml -->15/01/2008 20:23:06
C:\WINDOWS\System32\ikhcore.log -->15/01/2008 20:22:50
C:\WINDOWS\System32\wpa.dbl -->12/01/2008 19:40:19
C:\WINDOWS\System32\ntP2.trk -->12/01/2008 00:49:06
C:\WINDOWS\System32\lvcoinst.log -->04/01/2008 20:10:42
C:\WINDOWS\System32\BASSMOD.dll -->23/11/2007 04:11:53
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\CmdLineExt.dll -->27/10/2007 12:35:58
C:\WINDOWS\System32\FNTCACHE.DAT -->18/10/2007 21:23:52
C:\WINDOWS\System32\msvcp71.dll -->18/10/2007 18:08:17
C:\WINDOWS\System32\rmoc3260.dll -->18/10/2007 16:18:24
C:\WINDOWS\System32\pndx5032.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pndx5016.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pncrt.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\msvcr71.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\61xx.xml -->18/10/2007 13:43:07
C:\WINDOWS\System32\jupdate-1.5.0_12-b04.log -->17/10/2007 15:51:19
C:\WINDOWS\System32\LoopyMusic.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\BuzzingBee.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\nvapps.xml -->17/10/2007 12:15:27
C:\WINDOWS\WindowsUpdate.log -->15/01/2008 21:06:04
C:\WINDOWS\mozver.dat -->15/01/2008 20:50:29
C:\WINDOWS\win.ini -->15/01/2008 20:24:28
C:\WINDOWS\system.ini -->15/01/2008 20:24:28
C:\WINDOWS\0.log -->15/01/2008 20:23:25
C:\WINDOWS\wiaservc.log -->15/01/2008 20:23:06
C:\WINDOWS\wiadebug.log -->15/01/2008 20:23:06
C:\WINDOWS\bootstat.dat -->15/01/2008 20:22:58
C:\WINDOWS\SchedLgU.Txt -->15/01/2008 20:22:04
C:\WINDOWS\setupapi.log -->15/01/2008 20:17:56
C:\WINDOWS\winamp.ini -->13/01/2008 17:49:49
C:\WINDOWS\NeroDigital.ini -->25/11/2007 00:17:53
C:\WINDOWS\hpoins07.dat -->23/10/2007 21:04:54
C:\WINDOWS\ODBC.INI -->18/10/2007 13:54:06
C:\WINDOWS\Ascd_tmp.ini -->18/10/2007 13:18:55
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 1496
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Thu Mar 30 11:29:26 2006
*** Loaded image timestamp: Thu Mar 30 11:31:40 2006
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x25000 6.00.0002.0621 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x02790000 0x8000 1.00.0000.0001 C:\WINDOWS\system32\safeie.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x02b60000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x029c0000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x020b0000 0xc000 6.00.0002.0621 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll
0x01e90000 0x29000 6.00.0001.0409 C:\PROGRA~1\FICHIE~1\WEBROO~1\SHELLW~1.DLL
0x5a500000 0x4e000 8.01.0178.0000 C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll
0x085c0000 0x15000 10.00.0000.3802 C:\WINDOWS\system32\wmpshell.dll
0x41f00000 0x7000 1.00.0000.3845 C:\WINDOWS\system32\asfsipc.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 664
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x33000 6.00.0002.0621 C:\WINDOWS\system32\klogon.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\system
10/09/1999 12:06 4 672 wowpost.exe
1 fichier(s) 4 672 octets
0 Rép(s) 151 582 498 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\system32
19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 151 582 494 720 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\Downloaded Program Files
04/01/2008 20:35 <REP> .
04/01/2008 20:35 <REP> ..
16/10/2007 15:23 65 desktop.ini
20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe
20/11/2007 15:50 247 swflash.inf
3 fichier(s) 1 523 848 octets
Total des fichiers listés :
3 fichier(s) 1 523 848 octets
2 Rép(s) 151 582 494 720 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"="C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"="C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe:*:Enabled:VoipDiscount"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 21:06:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden services & system hive ...
IPC error: 2 Le fichier spécifié est introuvable.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden services: 0
hidden files: 0
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)
Process list by traversal of KiWaitListHead
4 - System
280 - svchost.exe
332 - avp.exe
640 - csrss.exe
664 - winlogon.exe
840 - services.exe
852 - lsass.exe
1016 - svchost.exe
1108 - zlclient.exe
1184 - svchost.exe
1224 - svchost.exe
1280 - realsched.exe
1316 - svchost.exe
1328 - vsmon.exe
1368 - Communications_
1496 - explorer.exe
1508 - svchost.exe
1824 - avp.exe
1856 - LVComSer.exe
1860 - LVComSer.exe
1916 - nvsvc32.exe
2380 - COCIManager.exe
5756 - cmd.exe
6080 - firefox.exe
Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)
Driver/Module list by traversal of PsLoadedModuleList
804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA6BD000 - sptd.sys
BADAA000 - \WINDOWS\System32\Drivers\WMILIB.SYS
BA6A5000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
BA676000 - ACPI.sys
BA665000 - pci.sys
BA8A8000 - isapnp.sys
BADAC000 - avgarkt.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8B8000 - MountMgr.sys
BA646000 - ftdisk.sys
BADAE000 - dmload.sys
BA620000 - dmio.sys
BAB30000 - PartMgr.sys
BA8C8000 - VolSnap.sys
BA608000 - atapi.sys
BA5D5000 - mv61xx.sys
BA8D8000 - disk.sys
BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA5B6000 - fltMgr.sys
BA59F000 - KSecDD.sys
BA512000 - Ntfs.sys
BA4E5000 - NDIS.sys
BA4D1000 - srescan.sys
BA4B7000 - Mup.sys
BA49B000 - kl1.sys
BAB38000 - \WINDOWS\system32\drivers\TDI.SYS
BA998000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9D5E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B9D4A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BABB0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9D27000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BABB8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9D02000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA9A8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA9B8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA9C8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B9CDF000 - \SystemRoot\system32\DRIVERS\ks.sys
BA9D8000 - \SystemRoot\system32\DRIVERS\atl01_xp.sys
BABC0000 - \SystemRoot\system32\DRIVERS\fdc.sys
BADB6000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
B9CCE000 - \SystemRoot\system32\DRIVERS\serial.sys
BA45B000 - \SystemRoot\system32\DRIVERS\serenum.sys
BA9E8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BABC8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B9C67000 - \SystemRoot\System32\Drivers\a9lz0swu.SYS
BAFD1000 - \SystemRoot\system32\DRIVERS\audstub.sys
BAA48000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA427000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9C3F000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BAA58000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BAA68000 - \SystemRoot\system32\DRIVERS\raspptp.sys
B9C06000 - \SystemRoot\system32\DRIVERS\psched.sys
BAA78000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BAC28000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BAC30000 - \SystemRoot\system32\DRIVERS\raspti.sys
B9BD5000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BAA88000 - \SystemRoot\system32\DRIVERS\termdd.sys
BAC38000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BADD0000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9BA1000 - \SystemRoot\system32\DRIVERS\update.sys
BA40F000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BAA98000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAAA8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADDA000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B7512000 - \SystemRoot\system32\drivers\RtkHDAud.sys
B74F0000 - \SystemRoot\system32\drivers\portcls.sys
BAAC8000 - \SystemRoot\system32\drivers\drmk.sys
BAC48000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BADDE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BAF6A000 - \SystemRoot\System32\Drivers\Null.SYS
BADE0000 - \SystemRoot\System32\Drivers\Beep.SYS
BAF6B000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
BAC58000 - \SystemRoot\System32\drivers\vga.sys
BADE2000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BAC60000 - \SystemRoot\System32\Drivers\Msfs.SYS
BAC68000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9C1F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B742D000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B73D5000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B7385000 - \SystemRoot\system32\DRIVERS\netbt.sys
B7364000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B7305000 - \SystemRoot\System32\vsdatant.sys
B72E3000 - \SystemRoot\System32\drivers\afd.sys
BAAE8000 - \SystemRoot\system32\DRIVERS\netbios.sys
BAC70000 - \??\C:\WINDOWS\system32\SAVRKBootTasks.sys
B72B8000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B7249000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B7219000 - \??\C:\WINDOWS\system32\drivers\klif.sys
B9B3D000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BAAF8000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
BAC78000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BAB18000 - \??\C:\WINDOWS\system32\drivers\ikhlayer.sys
B74E0000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BAC80000 - \??\C:\WINDOWS\system32\drivers\ikhfile.sys
BA928000 - \SystemRoot\System32\Drivers\Fips.SYS
BAA28000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B71D9000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BAE20000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B74B8000 - \SystemRoot\System32\drivers\Dxapi.sys
BAC90000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAF41000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B3158000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B306C000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B2D6D000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B2F54000 - \SystemRoot\System32\Drivers\Aspi32.SYS
B2B8B000 - \SystemRoot\system32\DRIVERS\srv.sys
BAF90000 - \??\C:\WINDOWS\TEMP\mc21.tmp
BADE4000 - \??\C:\Program Files\CyberLink\PowerDVD\000.fcl
B2946000 - \SystemRoot\system32\drivers\wdmaud.sys
B29F3000 - \SystemRoot\system32\drivers\sysaudio.sys
B2700000 - \SystemRoot\System32\Drivers\HTTP.sys
BAF0C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys
BABE8000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
B20E4000 - \SystemRoot\system32\drivers\kmixer.sys
Total number of drivers = 122
Liste des programmes installes
Archiveur WinRAR
Attansic L1 Gigabit Ethernet Driver
AudioCatalyst
AVG Anti-Rootkit Free
Azureus
BSPlayer
Coffret de pilotes Logitech QuickCam
FairStars Audio Converter 1.55
Foxit Reader
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
J2SE Runtime Environment 5.0 Update 12
Kaspersky Anti-Virus 6.0
Kaspersky Anti-Virus 6.0
Kingdia Video to AVI DIVX WMV DVD MOV ASF MPEG FLV Converter V1
Logitech QuickCam
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Windows XP (KB923689)
Mozilla Firefox (2.0.0.11)
MP3Producer
Nero 8 Lite 8.1.1.0
NVIDIA Drivers
PowerDVD
PowerDVD
RealPlayer
Realtek High Definition Audio Driver
RegSupreme Pro 1.4
Remove DivX Codec
Sophos Anti-Rootkit 1.3.1
Spyware Doctor 4.0
Teleport Pro
TOEIC Mastery version 1.2
VoipDiscount
WebFldrs XP
WellGet
Winamp (remove only)
WinAVI Video Converter
Window Washer
Windows Live Messenger
ZoneAlarm Pro
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files
15/01/2008 20:20 <REP> .
15/01/2008 20:20 <REP> ..
19/11/2007 23:08 <REP> ALA
13/01/2008 23:47 <REP> Avira GmbH
27/10/2007 00:09 <REP> Azureus
16/10/2007 15:21 <REP> ComPlus Applications
18/10/2007 18:09 <REP> CyberLink
21/10/2007 19:25 <REP> DAEMON Tools
22/11/2007 05:11 <REP> DivX
26/10/2007 23:16 <REP> Download Direct
21/11/2007 03:15 <REP> Electronic Arts
15/01/2008 00:24 <REP> Error Repair Professional
12/01/2008 00:53 <REP> FairStars Audio Converter
23/11/2007 01:30 <REP> Fichiers communs
22/11/2007 00:38 <REP> Foxit Software
13/01/2008 23:53 <REP> GRISOFT
26/10/2007 21:57 <REP> Intel
16/10/2007 15:25 <REP> Internet Explorer
17/10/2007 15:51 <REP> Java
17/10/2007 12:23 <REP> Kaspersky Lab
16/11/2007 01:54 <REP> Kingdia Software
27/10/2007 12:24 <REP> KONAMI
04/01/2008 20:08 <REP> Logitech
18/10/2007 13:43 <REP> Marvell
16/10/2007 15:24 <REP> microsoft frontpage
18/10/2007 13:53 <REP> Microsoft Office
21/10/2007 19:28 <REP> Midway Home Entertainment
16/10/2007 15:22 <REP> Movie Maker
15/01/2008 20:50 <REP> Mozilla Firefox
12/01/2008 00:48 <REP> MP3Producer
16/10/2007 15:24 <REP> msn gaming zone
17/10/2007 15:56 <REP> MSN Messenger
23/11/2007 01:31 <REP> Nero
16/10/2007 15:24 <REP> netmeeting
16/10/2007 15:22 <REP> Outlook Express
18/10/2007 16:18 <REP> Real
17/10/2007 12:08 <REP> Realtek
18/10/2007 13:43 <REP> RegSupreme Pro
16/10/2007 15:23 <REP> Services en ligne
14/01/2008 23:18 <REP> Sophos
02/01/2008 18:30 <REP> Spyware Doctor
13/01/2008 22:33 <REP> Teleport Pro
31/12/2007 19:33 <REP> VoipDiscount.com
17/10/2007 16:00 <REP> Webroot
17/10/2007 15:52 <REP> Webteh
26/10/2007 22:31 <REP> WellGet
13/01/2008 17:49 <REP> Winamp
21/11/2007 20:50 <REP> WinAVI Video Converter
16/10/2007 15:25 <REP> Windows Media Player
16/10/2007 15:24 <REP> Windows NT
27/10/2007 14:12 <REP> WinRAR
16/10/2007 15:24 <REP> xerox
12/01/2008 00:18 <REP> Xing
17/10/2007 12:32 <REP> Zone Labs
0 fichier(s) 0 octets
54 Rép(s) 151 924 699 136 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files\fichiers communs
23/11/2007 01:30 <REP> .
23/11/2007 01:30 <REP> ..
18/10/2007 13:53 <REP> DESIGNER
15/11/2007 00:54 <REP> InstallShield
17/10/2007 15:50 <REP> Java
04/01/2008 20:10 <REP> LogiShrd
21/10/2007 19:28 <REP> Microsoft Shared
16/10/2007 15:22 <REP> MSSoap
23/11/2007 01:31 <REP> Nero
16/10/2007 17:17 <REP> ODBC
18/10/2007 16:18 <REP> Real
16/10/2007 15:22 <REP> Services
16/10/2007 17:17 <REP> SpeechEngines
16/10/2007 15:22 <REP> System
17/10/2007 16:00 <REP> Webroot Shared
18/10/2007 16:18 <REP> xing shared
0 fichier(s) 0 octets
16 Rép(s) 151 924 695 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders
18/10/2007 13:53 <REP> .
18/10/2007 13:53 <REP> ..
18/10/2007 13:53 <REP> 1033
18/10/2007 13:53 <REP> 1036
11/07/2003 09:15 1 292 872 MSONSEXT.DLL
15/07/2003 05:52 35 896 MSOSV.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
11/07/2003 01:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 151 924 695 040 octets libres
c:\Documents and Settings\XP\Application Data\LimeWire\.NetworkShare\LimeWireWin4.16.2.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\FlashGot.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\XP\Bureau\Error Repair Professional 3.7.7\erpsetup.exe
c:\Documents and Settings\XP\Local Settings\Temp\xpinstall.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\HiJackThis.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\sarsfx.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\auxsetup.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\vdub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\VirtualDub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\voip vers fixe gratuit\setupvoipdiscount.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\MMSEF.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\VMSEF.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_XPSP2-AB29DB624.tar.gz a l'adresse http://upload.malekal.com
excute le 15/01/2008 à 21:06:10,87
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->15/01/2008 21:06:09
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->15/01/2008 21:04:41
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->15/01/2008 21:04:36
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->15/01/2008 21:04:36
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->15/01/2008 21:02:18
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->15/01/2008 21:01:31
C:\WINDOWS\prefetch\UPDCLIENT.EXE-215FC96B.pf -->15/01/2008 20:53:49
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->15/01/2008 20:32:57
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->15/01/2008 20:29:38
C:\WINDOWS\prefetch\GZIP.EXE-2ABE4329.pf -->15/01/2008 20:29:29
C:\WINDOWS\System32\drivers\fidbox.dat -->15/01/2008 21:04:13
C:\WINDOWS\System32\drivers\fidbox2.dat -->15/01/2008 21:04:08
C:\WINDOWS\System32\drivers\fidbox2.idx -->15/01/2008 20:22:09
C:\WINDOWS\System32\drivers\fidbox.idx -->15/01/2008 20:22:09
C:\WINDOWS\System32\drivers\klin.dat -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klif.sys -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klick.dat -->28/12/2007 15:06:18
C:\WINDOWS\System32\zllictbl.dat -->15/01/2008 20:38:12
C:\WINDOWS\System32\vsconfig.xml -->15/01/2008 20:23:06
C:\WINDOWS\System32\ikhcore.log -->15/01/2008 20:22:50
C:\WINDOWS\System32\wpa.dbl -->12/01/2008 19:40:19
C:\WINDOWS\System32\ntP2.trk -->12/01/2008 00:49:06
C:\WINDOWS\System32\lvcoinst.log -->04/01/2008 20:10:42
C:\WINDOWS\System32\BASSMOD.dll -->23/11/2007 04:11:53
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\CmdLineExt.dll -->27/10/2007 12:35:58
C:\WINDOWS\System32\FNTCACHE.DAT -->18/10/2007 21:23:52
C:\WINDOWS\System32\msvcp71.dll -->18/10/2007 18:08:17
C:\WINDOWS\System32\rmoc3260.dll -->18/10/2007 16:18:24
C:\WINDOWS\System32\pndx5032.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pndx5016.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pncrt.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\msvcr71.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\61xx.xml -->18/10/2007 13:43:07
C:\WINDOWS\System32\jupdate-1.5.0_12-b04.log -->17/10/2007 15:51:19
C:\WINDOWS\System32\LoopyMusic.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\BuzzingBee.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\nvapps.xml -->17/10/2007 12:15:27
C:\WINDOWS\WindowsUpdate.log -->15/01/2008 21:06:04
C:\WINDOWS\mozver.dat -->15/01/2008 20:50:29
C:\WINDOWS\win.ini -->15/01/2008 20:24:28
C:\WINDOWS\system.ini -->15/01/2008 20:24:28
C:\WINDOWS\0.log -->15/01/2008 20:23:25
C:\WINDOWS\wiaservc.log -->15/01/2008 20:23:06
C:\WINDOWS\wiadebug.log -->15/01/2008 20:23:06
C:\WINDOWS\bootstat.dat -->15/01/2008 20:22:58
C:\WINDOWS\SchedLgU.Txt -->15/01/2008 20:22:04
C:\WINDOWS\setupapi.log -->15/01/2008 20:17:56
C:\WINDOWS\winamp.ini -->13/01/2008 17:49:49
C:\WINDOWS\NeroDigital.ini -->25/11/2007 00:17:53
C:\WINDOWS\hpoins07.dat -->23/10/2007 21:04:54
C:\WINDOWS\ODBC.INI -->18/10/2007 13:54:06
C:\WINDOWS\Ascd_tmp.ini -->18/10/2007 13:18:55
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 1496
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Thu Mar 30 11:29:26 2006
*** Loaded image timestamp: Thu Mar 30 11:31:40 2006
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x25000 6.00.0002.0621 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x02790000 0x8000 1.00.0000.0001 C:\WINDOWS\system32\safeie.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x02b60000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x029c0000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x020b0000 0xc000 6.00.0002.0621 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll
0x01e90000 0x29000 6.00.0001.0409 C:\PROGRA~1\FICHIE~1\WEBROO~1\SHELLW~1.DLL
0x5a500000 0x4e000 8.01.0178.0000 C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll
0x085c0000 0x15000 10.00.0000.3802 C:\WINDOWS\system32\wmpshell.dll
0x41f00000 0x7000 1.00.0000.3845 C:\WINDOWS\system32\asfsipc.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 664
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x33000 6.00.0002.0621 C:\WINDOWS\system32\klogon.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\system
10/09/1999 12:06 4 672 wowpost.exe
1 fichier(s) 4 672 octets
0 Rép(s) 151 582 498 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\system32
19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 151 582 494 720 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\WINDOWS\Downloaded Program Files
04/01/2008 20:35 <REP> .
04/01/2008 20:35 <REP> ..
16/10/2007 15:23 65 desktop.ini
20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe
20/11/2007 15:50 247 swflash.inf
3 fichier(s) 1 523 848 octets
Total des fichiers listés :
3 fichier(s) 1 523 848 octets
2 Rép(s) 151 582 494 720 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"="C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe"="C:\\Program Files\\VoipDiscount.com\\VoipDiscount\\VoipDiscount.exe:*:Enabled:VoipDiscount"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 21:06:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden services & system hive ...
IPC error: 2 Le fichier spécifié est introuvable.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden services: 0
hidden files: 0
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)
Process list by traversal of KiWaitListHead
4 - System
280 - svchost.exe
332 - avp.exe
640 - csrss.exe
664 - winlogon.exe
840 - services.exe
852 - lsass.exe
1016 - svchost.exe
1108 - zlclient.exe
1184 - svchost.exe
1224 - svchost.exe
1280 - realsched.exe
1316 - svchost.exe
1328 - vsmon.exe
1368 - Communications_
1496 - explorer.exe
1508 - svchost.exe
1824 - avp.exe
1856 - LVComSer.exe
1860 - LVComSer.exe
1916 - nvsvc32.exe
2380 - COCIManager.exe
5756 - cmd.exe
6080 - firefox.exe
Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)
Driver/Module list by traversal of PsLoadedModuleList
804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA6BD000 - sptd.sys
BADAA000 - \WINDOWS\System32\Drivers\WMILIB.SYS
BA6A5000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
BA676000 - ACPI.sys
BA665000 - pci.sys
BA8A8000 - isapnp.sys
BADAC000 - avgarkt.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8B8000 - MountMgr.sys
BA646000 - ftdisk.sys
BADAE000 - dmload.sys
BA620000 - dmio.sys
BAB30000 - PartMgr.sys
BA8C8000 - VolSnap.sys
BA608000 - atapi.sys
BA5D5000 - mv61xx.sys
BA8D8000 - disk.sys
BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA5B6000 - fltMgr.sys
BA59F000 - KSecDD.sys
BA512000 - Ntfs.sys
BA4E5000 - NDIS.sys
BA4D1000 - srescan.sys
BA4B7000 - Mup.sys
BA49B000 - kl1.sys
BAB38000 - \WINDOWS\system32\drivers\TDI.SYS
BA998000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9D5E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B9D4A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BABB0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9D27000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BABB8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9D02000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA9A8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA9B8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA9C8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B9CDF000 - \SystemRoot\system32\DRIVERS\ks.sys
BA9D8000 - \SystemRoot\system32\DRIVERS\atl01_xp.sys
BABC0000 - \SystemRoot\system32\DRIVERS\fdc.sys
BADB6000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
B9CCE000 - \SystemRoot\system32\DRIVERS\serial.sys
BA45B000 - \SystemRoot\system32\DRIVERS\serenum.sys
BA9E8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BABC8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B9C67000 - \SystemRoot\System32\Drivers\a9lz0swu.SYS
BAFD1000 - \SystemRoot\system32\DRIVERS\audstub.sys
BAA48000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA427000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9C3F000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BAA58000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BAA68000 - \SystemRoot\system32\DRIVERS\raspptp.sys
B9C06000 - \SystemRoot\system32\DRIVERS\psched.sys
BAA78000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BAC28000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BAC30000 - \SystemRoot\system32\DRIVERS\raspti.sys
B9BD5000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BAA88000 - \SystemRoot\system32\DRIVERS\termdd.sys
BAC38000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BADD0000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9BA1000 - \SystemRoot\system32\DRIVERS\update.sys
BA40F000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BAA98000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAAA8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADDA000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B7512000 - \SystemRoot\system32\drivers\RtkHDAud.sys
B74F0000 - \SystemRoot\system32\drivers\portcls.sys
BAAC8000 - \SystemRoot\system32\drivers\drmk.sys
BAC48000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BADDE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BAF6A000 - \SystemRoot\System32\Drivers\Null.SYS
BADE0000 - \SystemRoot\System32\Drivers\Beep.SYS
BAF6B000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
BAC58000 - \SystemRoot\System32\drivers\vga.sys
BADE2000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BAC60000 - \SystemRoot\System32\Drivers\Msfs.SYS
BAC68000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9C1F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B742D000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B73D5000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B7385000 - \SystemRoot\system32\DRIVERS\netbt.sys
B7364000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B7305000 - \SystemRoot\System32\vsdatant.sys
B72E3000 - \SystemRoot\System32\drivers\afd.sys
BAAE8000 - \SystemRoot\system32\DRIVERS\netbios.sys
BAC70000 - \??\C:\WINDOWS\system32\SAVRKBootTasks.sys
B72B8000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B7249000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B7219000 - \??\C:\WINDOWS\system32\drivers\klif.sys
B9B3D000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BAAF8000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
BAC78000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BAB18000 - \??\C:\WINDOWS\system32\drivers\ikhlayer.sys
B74E0000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BAC80000 - \??\C:\WINDOWS\system32\drivers\ikhfile.sys
BA928000 - \SystemRoot\System32\Drivers\Fips.SYS
BAA28000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B71D9000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BAE20000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B74B8000 - \SystemRoot\System32\drivers\Dxapi.sys
BAC90000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAF41000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B3158000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B306C000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B2D6D000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B2F54000 - \SystemRoot\System32\Drivers\Aspi32.SYS
B2B8B000 - \SystemRoot\system32\DRIVERS\srv.sys
BAF90000 - \??\C:\WINDOWS\TEMP\mc21.tmp
BADE4000 - \??\C:\Program Files\CyberLink\PowerDVD\000.fcl
B2946000 - \SystemRoot\system32\drivers\wdmaud.sys
B29F3000 - \SystemRoot\system32\drivers\sysaudio.sys
B2700000 - \SystemRoot\System32\Drivers\HTTP.sys
BAF0C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys
BABE8000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
B20E4000 - \SystemRoot\system32\drivers\kmixer.sys
Total number of drivers = 122
Liste des programmes installes
Archiveur WinRAR
Attansic L1 Gigabit Ethernet Driver
AudioCatalyst
AVG Anti-Rootkit Free
Azureus
BSPlayer
Coffret de pilotes Logitech QuickCam
FairStars Audio Converter 1.55
Foxit Reader
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
J2SE Runtime Environment 5.0 Update 12
Kaspersky Anti-Virus 6.0
Kaspersky Anti-Virus 6.0
Kingdia Video to AVI DIVX WMV DVD MOV ASF MPEG FLV Converter V1
Logitech QuickCam
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Windows XP (KB923689)
Mozilla Firefox (2.0.0.11)
MP3Producer
Nero 8 Lite 8.1.1.0
NVIDIA Drivers
PowerDVD
PowerDVD
RealPlayer
Realtek High Definition Audio Driver
RegSupreme Pro 1.4
Remove DivX Codec
Sophos Anti-Rootkit 1.3.1
Spyware Doctor 4.0
Teleport Pro
TOEIC Mastery version 1.2
VoipDiscount
WebFldrs XP
WellGet
Winamp (remove only)
WinAVI Video Converter
Window Washer
Windows Live Messenger
ZoneAlarm Pro
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files
15/01/2008 20:20 <REP> .
15/01/2008 20:20 <REP> ..
19/11/2007 23:08 <REP> ALA
13/01/2008 23:47 <REP> Avira GmbH
27/10/2007 00:09 <REP> Azureus
16/10/2007 15:21 <REP> ComPlus Applications
18/10/2007 18:09 <REP> CyberLink
21/10/2007 19:25 <REP> DAEMON Tools
22/11/2007 05:11 <REP> DivX
26/10/2007 23:16 <REP> Download Direct
21/11/2007 03:15 <REP> Electronic Arts
15/01/2008 00:24 <REP> Error Repair Professional
12/01/2008 00:53 <REP> FairStars Audio Converter
23/11/2007 01:30 <REP> Fichiers communs
22/11/2007 00:38 <REP> Foxit Software
13/01/2008 23:53 <REP> GRISOFT
26/10/2007 21:57 <REP> Intel
16/10/2007 15:25 <REP> Internet Explorer
17/10/2007 15:51 <REP> Java
17/10/2007 12:23 <REP> Kaspersky Lab
16/11/2007 01:54 <REP> Kingdia Software
27/10/2007 12:24 <REP> KONAMI
04/01/2008 20:08 <REP> Logitech
18/10/2007 13:43 <REP> Marvell
16/10/2007 15:24 <REP> microsoft frontpage
18/10/2007 13:53 <REP> Microsoft Office
21/10/2007 19:28 <REP> Midway Home Entertainment
16/10/2007 15:22 <REP> Movie Maker
15/01/2008 20:50 <REP> Mozilla Firefox
12/01/2008 00:48 <REP> MP3Producer
16/10/2007 15:24 <REP> msn gaming zone
17/10/2007 15:56 <REP> MSN Messenger
23/11/2007 01:31 <REP> Nero
16/10/2007 15:24 <REP> netmeeting
16/10/2007 15:22 <REP> Outlook Express
18/10/2007 16:18 <REP> Real
17/10/2007 12:08 <REP> Realtek
18/10/2007 13:43 <REP> RegSupreme Pro
16/10/2007 15:23 <REP> Services en ligne
14/01/2008 23:18 <REP> Sophos
02/01/2008 18:30 <REP> Spyware Doctor
13/01/2008 22:33 <REP> Teleport Pro
31/12/2007 19:33 <REP> VoipDiscount.com
17/10/2007 16:00 <REP> Webroot
17/10/2007 15:52 <REP> Webteh
26/10/2007 22:31 <REP> WellGet
13/01/2008 17:49 <REP> Winamp
21/11/2007 20:50 <REP> WinAVI Video Converter
16/10/2007 15:25 <REP> Windows Media Player
16/10/2007 15:24 <REP> Windows NT
27/10/2007 14:12 <REP> WinRAR
16/10/2007 15:24 <REP> xerox
12/01/2008 00:18 <REP> Xing
17/10/2007 12:32 <REP> Zone Labs
0 fichier(s) 0 octets
54 Rép(s) 151 924 699 136 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files\fichiers communs
23/11/2007 01:30 <REP> .
23/11/2007 01:30 <REP> ..
18/10/2007 13:53 <REP> DESIGNER
15/11/2007 00:54 <REP> InstallShield
17/10/2007 15:50 <REP> Java
04/01/2008 20:10 <REP> LogiShrd
21/10/2007 19:28 <REP> Microsoft Shared
16/10/2007 15:22 <REP> MSSoap
23/11/2007 01:31 <REP> Nero
16/10/2007 17:17 <REP> ODBC
18/10/2007 16:18 <REP> Real
16/10/2007 15:22 <REP> Services
16/10/2007 17:17 <REP> SpeechEngines
16/10/2007 15:22 <REP> System
17/10/2007 16:00 <REP> Webroot Shared
18/10/2007 16:18 <REP> xing shared
0 fichier(s) 0 octets
16 Rép(s) 151 924 695 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA
Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders
18/10/2007 13:53 <REP> .
18/10/2007 13:53 <REP> ..
18/10/2007 13:53 <REP> 1033
18/10/2007 13:53 <REP> 1036
11/07/2003 09:15 1 292 872 MSONSEXT.DLL
15/07/2003 05:52 35 896 MSOSV.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
11/07/2003 01:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 151 924 695 040 octets libres
c:\Documents and Settings\XP\Application Data\LimeWire\.NetworkShare\LimeWireWin4.16.2.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\FlashGot.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\XP\Bureau\Error Repair Professional 3.7.7\erpsetup.exe
c:\Documents and Settings\XP\Local Settings\Temp\xpinstall.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\HiJackThis.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\sarsfx.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\auxsetup.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\vdub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\VirtualDub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\voip vers fixe gratuit\setupvoipdiscount.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\MMSEF.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\VMSEF.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_XPSP2-AB29DB624.tar.gz a l'adresse http://upload.malekal.com
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 21:18
Ha, certains fichiers système présentent des caractéristiques anormales. Je vérifie ça, c'est délicat à manipuler...
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 22:06
ça va Falkra!! tu t'en sors!!
il y a une solution??
merci pour ton aide,je vais essayer de continuer
il y a une solution??
merci pour ton aide,je vais essayer de continuer
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 22:22
Il n'y a que des solution, ce qui compte est de voir si elles sont agréables et faciles à mettre en place... 
Crée un point de restauration. (démarrer, programmes, accessoires, outils systèmes, restauration du système).
Regarde si tu trouves un fichier nommé tcpip.sys dans le dossiers suivant :
C:\WINDOWS\ServicePackFiles\i386
Oui ? Démarre en mode sans échec sans le support réseau :
Tu le recopies dans C:\WINDOWS\system32\drivers\ en écrasant.
Non ? Ha bon raconte.
J'ai horreur de toucher à vos fichiers système...
Crée un point de restauration. (démarrer, programmes, accessoires, outils systèmes, restauration du système).
Regarde si tu trouves un fichier nommé tcpip.sys dans le dossiers suivant :
C:\WINDOWS\ServicePackFiles\i386
Oui ? Démarre en mode sans échec sans le support réseau :
Tu le recopies dans C:\WINDOWS\system32\drivers\ en écrasant.
Non ? Ha bon raconte.
J'ai horreur de toucher à vos fichiers système...
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 22:29
euuuuh.....pas de dossier nommer ServicePackFiles dans le dossier WINDOWS!!!ni i386....
j'ai le fichier mais il se trouve dans C:\WINDOWS\system32\drivers
j'ai le fichier mais il se trouve dans C:\WINDOWS\system32\drivers
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 22:34
Ne tente rien pour le moment sans avoir le backup.
Ton fichier est modifié/patché.
Tu as windows XP SP2. As-tu un CD d'installation windows XP avec le sp2 intégré ?
Un dossier sur le disque dur pour restauration (genre pc de marque ça).
Ton fichier est modifié/patché.
Tu as windows XP SP2. As-tu un CD d'installation windows XP avec le sp2 intégré ?
Un dossier sur le disque dur pour restauration (genre pc de marque ça).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 22:37
j'ai créé le point de restauration,oui j'ai un cd d'installation de XP SP2
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 22:39
Attends, tu as encore un truc, planqué en rootkit (régénéré), c'est prioritaire.
* Clique sur ce lien de navilog1 de IL-MAFIOSO :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Enregistre le fichier sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans accord)
* Cela dure un moment, attends le message :
* Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
Note :
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.
* Clique sur ce lien de navilog1 de IL-MAFIOSO :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Enregistre le fichier sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans accord)
* Cela dure un moment, attends le message :
*** Analyse Termine le ..... ***
* Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
Note :
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 22:49
voila le rapport :
Search Navipromo version 3.4.0 commencé le 15/01/2008 à 22:41:35,10
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\XP\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\XP\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\XP\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\XP\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 15/01/2008 à 22:42:51,92 ***
Search Navipromo version 3.4.0 commencé le 15/01/2008 à 22:41:35,10
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\XP\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\XP\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\XP\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\XP\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 15/01/2008 à 22:42:51,92 ***
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 22:52
Pas glop. Artillerie lourde.
Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
- Double-clique combofix.exe afin de l'exécuter et suis les instructions.
- Lorsque l'analyse sera complétée, un rapport apparaîtra.
- Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
98 messages
• Page 1 sur 5 • 1, 2, 3, 4, 5
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
Traduction par phpBB-fr.com
phpBB Metro Theme by PixelGoose Studio