bonjour à tous et bonne année
J'ai été infecté par cette vérole que je me suis débarrassé par Combofix et Vundofix, mais il me reste un message qui arrive sur le bureau au démarrage :

J'ai regardé dans msconfig / démarrer, il n'y a pas cette commande. D'où celà peut- il venir?
Merci de votre aide
schobrink

Combofix n'est pas à utiliser comme ça, fais super attention.
Vundofix ne suffit pas, pas toujours, pas partout, ça dépend du Vundo en fait.

Ca ne sera pas facile de nettoyer sur un truc déjà commencé, mais allons-y.
Poste un log hiajckthis 2.0.2 : Tuto + liens.

Logfile of HijackThis v1.99.1
Scan saved at 15:30, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\topdesk.exe
C:\Program Files\Nod32\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Nod32\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Archives logiciels\Utils\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32\topdesk.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: gebywxx - gebywxx.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe

A noter que j'avais déjà fait un nettoyage qui me semblait bon, mais le malware est revenu tout seul 2 à 3 jours plus tard. J'ai donc reommencé, car je n'étais pas sûr d'avoir désactévé la restauration du système.
J'avais déja fait aussi un nettoyage avec ccleaner et Regcleaner.
Tout me paraiisait bon, sauf ce message en démarrant. La fois précédente, il était bien dans de démarrage des dll, mais là, il n'y est plus et le message est encore activé (???)
Un passage de Adaware 2007 ne m'a rien donné.

Tu as pris la version 1.99.1 de HJt, on utilise la 2.0.2 maintenant, pour le prochain log, passe en 2.0.2.

* Clique sur ce lien de navilog1 de IL-MAFIOSO :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Enregistre le fichier sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans accord)
* Cela dure un moment, attends le message :

*** Analyse Termine le ..... ***

* Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.

Note :
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Search Navipromo version 3.3.8 commencé le 03/01/2008 à 16:16:31,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur.72FE02D314F24D6\application data" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers suspects :

C:\WINDOWS\system32\cpuz.exe trouvé !

* Recherche dans "C:\Documents and Settings\Administrateur.72FE02D314F24D6\local settings\application data" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur.72FE02D314F24D6\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/01/2008 à 16:23:42,37 ***

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Rends toi jusque sur ce fichier si tu le trouves :

C:\WINDOWS\system32\cpuz.exe

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Fichier cpuz.exe reçu le 2007.04.21 05:51:19 (CET)
Situation actuelle: terminé
Résultat: 2/31 (6.45%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - suspicious
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen!52 (suspicious)
Information additionnelle

Je pense que le fichier détecté n'est pas infectieux.
Uploade le fichier C:\WINDOWS\system32\cpuz.exe à cette adresse :
http://www.bleepingcomputer.com/submit-malware.php?channel=35

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le, sur ton bureau par exemple.
• Un nouveau dossier chercher va être créé DiagHelp.
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  
  NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.
  
• Le rapport est sauvegardé dans c:\resultat.txt si jamais tu le cherches

je n'ai pas pu envoyer le fichier, car il ne reconnait pas l'adresse.
J'ai regardé dans le rapport que j'avais fait avec combofix, il avait bien effacé ndaTqsVqrX.dll
Ce que je cherche à faire c'est supprimer la commande de cette dll, qui doit être un reste non effacé quelquepart.
Ceci dit, il peut peut-être encore trainer quelque chose, en tous cas ce message est bien lié à vundo, car je ne l'avais pas avant.
voici le rapport:

DiagHelp version v1.4 - http://www.malekal.com
excute le 03/01/2008 à 17:15:24,76


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\Layout.ini -->02/01/2008 15:48:35
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->29/12/2007 08:39:57

C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54
C:\WINDOWS\System32\drivers\mqac.sys -->06/07/2007 11:05:47
C:\WINDOWS\System32\drivers\NSDriver.sys -->04/06/2007 15:18:48
C:\WINDOWS\System32\drivers\AWRTRD.sys -->04/06/2007 15:17:02
C:\WINDOWS\System32\drivers\AWRTPD.sys -->04/06/2007 15:14:56
C:\WINDOWS\System32\drivers\lnsfw.sys -->09/03/2007 21:36:49
C:\WINDOWS\System32\drivers\lnsfw1.sys -->09/03/2007 21:36:48

C:\WINDOWS\System32\NvApps.xml -->03/01/2008 15:20:01
C:\WINDOWS\System32\wpa.dbl -->30/12/2007 09:39:44
C:\WINDOWS\System32\FNTCACHE.DAT -->22/12/2007 10:40:16
C:\WINDOWS\System32\TZLog.log -->12/12/2007 16:05:19
C:\WINDOWS\System32\mapisvc.inf -->23/11/2007 09:58:29
C:\WINDOWS\System32\jscript.dll -->14/11/2007 08:28:02
C:\WINDOWS\System32\tzchange.exe -->13/11/2007 12:31:11
C:\WINDOWS\System32\mshtml.dll -->30/10/2007 11:18:16
C:\WINDOWS\System32\quartz.dll -->29/10/2007 23:43:32
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:35:14
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 07:49:58
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 07:49:58
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 07:49:58
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 07:49:58
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 07:49:57
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:56:24
C:\WINDOWS\System32\wmasf.dll -->25/10/2007 09:28:30
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->16/10/2007 07:46:05
C:\WINDOWS\System32\wininet.dll -->11/10/2007 07:13:41
C:\WINDOWS\System32\urlmon.dll -->11/10/2007 07:13:41
C:\WINDOWS\System32\shlwapi.dll -->11/10/2007 07:13:41
C:\WINDOWS\System32\shdocvw.dll -->11/10/2007 07:13:40
C:\WINDOWS\System32\pngfilt.dll -->11/10/2007 07:13:40
C:\WINDOWS\System32\mstime.dll -->11/10/2007 07:13:40
C:\WINDOWS\System32\msrating.dll -->11/10/2007 07:13:40

C:\WINDOWS\0.log -->03/01/2008 15:20:52
C:\WINDOWS\wiadebug.log -->03/01/2008 15:20:25
C:\WINDOWS\wiaservc.log -->03/01/2008 15:20:24
C:\WINDOWS\bootstat.dat -->03/01/2008 15:19:35
C:\WINDOWS\SchedLgU.Txt -->03/01/2008 14:47:44
C:\WINDOWS\WindowsUpdate.log -->03/01/2008 14:47:31
C:\WINDOWS\system.ini -->02/01/2008 17:09:14
C:\WINDOWS\NeroDigital.ini -->28/12/2007 14:58:43
C:\WINDOWS\setupapi.log.0.old -->16/12/2007 15:15:06
C:\WINDOWS\ARPR.INI -->23/11/2007 11:14:08
C:\WINDOWS\diagwrn.xml -->16/11/2007 09:51:05
C:\WINDOWS\diagerr.xml -->16/11/2007 09:51:05
C:\WINDOWS\win.ini -->09/11/2007 10:10:43
C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8302.exe -->18/09/2007 08:01:30
C:\WINDOWS\Nod32 -->08/07/2007 15:21:56

winlogon.exe
Verified: Unsigned
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 376
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0xb9000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0312 C:\WINDOWS\system32\CLBCATQ.DLL
0x00bf0000 0x18a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x60560000 0x33000 17.00.0054.0000 C:\WINDOWS\system32\AcSignIcon.dll
0x60610000 0x61000 17.00.0054.0110 C:\Program Files\Fichiers communs\Autodesk Shared\AcSignCore16.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x10000000 0xa000 C:\WINDOWS\system32\topdesk.dll
0x02600000 0x5000 C:\Windows\System32\VttHooks.dll
0x027e0000 0x11000 C:\Program Files\UberIcon\UberIcon.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x02f40000 0x18000 C:\Program Files\LClock\LC.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x02540000 0xb000 6.00.0000.0878 C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
0x6d7c0000 0x79000 6.00.0030.0005 C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Java\jre1.6.0_03\bin\MSVCR71.dll
0x5c3b0000 0x13f000 1.00.0000.5325 c:\windows\srchasst\srchui.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x038d0000 0x12000 1.00.0000.5325 c:\windows\srchasst\srchctls.dll
0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll
0x75be0000 0x6f000 5.06.0000.8834 C:\WINDOWS\system32\jscript.dll
0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x60510000 0x18000 2.00.50727.0042 C:\WINDOWS\system32\dfshim.dll
0x79000000 0x45000 2.00.50727.0832 C:\WINDOWS\system32\mscoree.dll
0x641f0000 0x1d000 2.00.50727.0042 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Shfusion.dll
0x04160000 0x6000 2.00.50727.0042 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Fusion.dll
0x60340000 0x8000 2.00.50727.0042 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\culture.dll
0x64220000 0x18000 2.00.50727.0042 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fr\ShFusRes.dll
0x00e50000 0x10000 C:\Program Files\Nod32\nodshex.dll
0x02ec0000 0x2c000 C:\Program Files\WinRAR\rarext.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 932
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0xb9000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x26000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x73d50000 0x3000 1.05.0540.0000 C:\WINDOWS\system32\WgaLogon.dll
0x77000000 0x18a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0312 C:\WINDOWS\system32\CLBCATQ.DLL
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll


Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\WINDOWS\system

28/05/2003 18:53 4 672 WOWPOST.EXE
1 fichier(s) 4 672 octets
0 Rép(s) 126 449 573 888 octets libres
Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\WINDOWS\system32

04/08/2004 01:54 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 126 449 573 888 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\WINDOWS\Downloaded Program Files

03/04/2007 08:51 <REP> .
03/04/2007 08:51 <REP> ..
09/03/2007 17:17 65 desktop.ini
05/03/2006 12:58 346 216 IDrop.ocx
05/03/2006 13:19 114 280 IDropENU.dll
13/03/2006 21:48 114 256 IDropFRA.dll
4 fichier(s) 574 817 octets

Total des fichiers listés :
4 fichier(s) 574 817 octets
2 Rép(s) 126 449 569 792 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2



Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-03 17:16:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
320 - spoolsv.exe
376 - explorer.exe
772 - DkService.exe
792 - topdesk.exe
812 - csrss.exe
820 - nod32kui.exe
828 - looknstop.exe
888 - VisualTaskTips.
932 - winlogon.exe
948 - TweakRAM.exe
996 - LClock.exe
1004 - ctfmon.exe
1056 - services.exe
1068 - lsass.exe
1144 - aawservice.exe
1452 - svchost.exe
1592 - svchost.exe
1752 - nod32krn.exe
2080 - alg.exe
3220 - firefox.exe
3412 - cmd.exe

Total number of processes = 22
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F9F32000 - \WINDOWS\system32\KDCOM.DLL
F9E42000 - \WINDOWS\system32\BOOTVID.dll
F99E2000 - ACPI.sys
F9F34000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F99D1000 - pci.sys
F9A32000 - isapnp.sys
F9F36000 - ViaIde.sys
F9CB2000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS
F9A42000 - MountMgr.sys
F99B2000 - ftdisk.sys
F9F38000 - dmload.sys
F998C000 - dmio.sys
F9CBA000 - videX32.sys
F9CC2000 - PartMgr.sys
F9A52000 - VolSnap.sys
F9974000 - atapi.sys
F995D000 - viamraid.sys
F9945000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
F9A62000 - Si3112.sys
F9934000 - Si3132.sys
F9A72000 - disk.sys
F9A82000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F9914000 - fltMgr.sys
F98FD000 - KSecDD.sys
F9870000 - Ntfs.sys
F9843000 - NDIS.sys
F9CCA000 - viaagp1.sys
F9829000 - Mup.sys
F9B52000 - \SystemRoot\system32\DRIVERS\processr.sys
F9411000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F93FD000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F9B62000 - \SystemRoot\system32\DRIVERS\imapi.sys
F9B72000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F9B82000 - \SystemRoot\system32\DRIVERS\redbook.sys
F93DA000 - \SystemRoot\system32\DRIVERS\ks.sys
F9DCA000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F93B7000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F93A2000 - \SystemRoot\system32\drivers\ac97via.sys
F937E000 - \SystemRoot\system32\drivers\portcls.sys
F9B92000 - \SystemRoot\system32\drivers\drmk.sys
F9CEA000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F936B000 - \SystemRoot\system32\DRIVERS\el90Xbc5.SYS
F9D0A000 - \SystemRoot\system32\DRIVERS\fdc.sys
F935A000 - \SystemRoot\system32\DRIVERS\serial.sys
F9EE2000 - \SystemRoot\system32\DRIVERS\serenum.sys
F9346000 - \SystemRoot\system32\DRIVERS\parport.sys
F9BA2000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F9D4A000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F9D5A000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
FA0A7000 - \SystemRoot\system32\DRIVERS\audstub.sys
F9BB2000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F9EEE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F932F000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F9BC2000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F9BD2000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F9DA2000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F931E000 - \SystemRoot\system32\DRIVERS\psched.sys
F9BE2000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F9DD2000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F9DE2000 - \SystemRoot\system32\DRIVERS\raspti.sys
F92EE000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F9BF2000 - \SystemRoot\system32\DRIVERS\termdd.sys
F9C02000 - \SystemRoot\system32\DRIVERS\lnsfw.sys
F9F42000 - \SystemRoot\system32\DRIVERS\swenum.sys
F9292000 - \SystemRoot\system32\DRIVERS\update.sys
F9F22000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F9C12000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9C22000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9F48000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F97E9000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F9D32000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F9F4C000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
FA01D000 - \SystemRoot\System32\Drivers\Null.SYS
F9F50000 - \SystemRoot\System32\Drivers\Beep.SYS
F9D52000 - \??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys
F9D6A000 - \SystemRoot\System32\drivers\vga.sys
F9F56000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9D7A000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9D8A000 - \SystemRoot\System32\Drivers\Npfs.SYS
F9ED6000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F8097000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F803E000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F802B000 - \SystemRoot\System32\Drivers\lnsfw1.SYS
F8009000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F7FE1000 - \SystemRoot\system32\DRIVERS\netbt.sys
F9EFA000 - \SystemRoot\System32\drivers\ws2ifsl.sys
F7FBF000 - \SystemRoot\System32\drivers\afd.sys
F9C42000 - \SystemRoot\system32\DRIVERS\netbios.sys
F7F94000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F7F25000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F9C52000 - \SystemRoot\System32\Drivers\Fips.SYS
F9C72000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F9C82000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F91CE000 - \SystemRoot\System32\Drivers\dump_diskdump.sys
F7EE6000 - \SystemRoot\System32\Drivers\dump_viamraid.sys
BF800000 - \SystemRoot\System32\win32k.sys
F9EC2000 - \SystemRoot\System32\drivers\Dxapi.sys
F9E32000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
FA10A000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
F9EC6000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F6DA1000 - \SystemRoot\system32\drivers\wdmaud.sys
F9AB2000 - \SystemRoot\system32\drivers\sysaudio.sys
F9F76000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F61E3000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F60C9000 - \??\C:\WINDOWS\system32\drivers\amon.sys
F6EBA000 - \SystemRoot\System32\Drivers\Aspi32.SYS
F5F70000 - \SystemRoot\System32\Drivers\HTTP.sys
F5FF1000 - \SystemRoot\system32\DRIVERS\secdrv.sys
F5DDE000 - \SystemRoot\system32\DRIVERS\srv.sys
F5D7A000 - \??\C:\DOCUME~1\ADMINI~1.72F\LOCALS~1\Temp\catchme.sys
FA0A2000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 116

Liste des programmes installes

Ad-Aware 2007
Adobe Acrobat 6.0 Professional - English, Français, Deutsch
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0 - Français
Archiveur WinRAR
ArcSoft PhotoStudio 5
AutoCAD 2007 - Français
Autodesk DWF Viewer
CanoScan Toolbox 4.1
CartoNavPlus
CartoNavPlus
CCleaner (remove only)
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows XP (KB918093)
Diskeeper Professional Edition
EPSON Logiciel imprimante
FileMaker Pro 8 Advanced
FileMaker Pro 8.5 Advanced
Free - Kit de connexion
Google Earth
HijackThis 1.99.1
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Java DB 10.2.2.0
Java(TM) 6 Update 3
Java(TM) SE Development Kit 6 Update 3
K-Lite Codec Pack 2.77 Standard
Language pack for Ad-Aware SE
Lecteur Windows Media 11
LiveReg (Symantec Corporation)
LiveUpdate 1.80 (Symantec Corporation)
Look 'n' Stop 2.05
Macromedia Flash Player 8
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Software Update for Web Folders (French) 12
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931768)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB939653)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB942615)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour pour Windows XP (KB920342)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB942840)
Mise à jour pour Windows XP (KB946627)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Mozilla Firefox (2.0.0.11)
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Navilog1 3.3.8
Nero 7 Lite v7.5.7.0
NOD32 Antivirus System
NOD32 FiX v2.1
Norton Ghost
Outil de mise à jour Google
PDFCreator
PDFCreator Toolbar
QuarkXPress 7.0
save2pc Light 3.20
Security Update pour Microsoft .NET Framework 2.0 (KB928365)
Shareaza version 2.3.0.0
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Yahoo! Install Manager
Yahoo! Toolbar
Yahoo! Toolbar avec bloqueur de fenêtres pop-up



Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\Program Files

03/01/2008 16:14 <REP> .
03/01/2008 16:14 <REP> ..
21/12/2007 12:42 <REP> Ad-Aware
16/09/2007 18:47 <REP> Adobe
16/09/2007 06:59 <REP> Alwil Software
03/04/2007 08:53 <REP> AnswerWorks 4.0
24/04/2007 12:46 <REP> ArcSoft
03/04/2007 10:38 <REP> AutoCAD 2007
03/04/2007 08:40 <REP> Autodesk
27/12/2006 22:09 <REP> BinaryBiz
24/04/2007 12:48 <REP> Canon
01/01/2008 14:08 <REP> CartoNavPlus
09/03/2007 13:23 <REP> CCleaner
04/08/2007 08:15 <REP> Claris Corp
14/06/2006 18:46 <REP> Compare It!
27/12/2006 20:48 <REP> ComPlus Applications
23/11/2007 13:40 <REP> ElcomSoft
09/03/2007 20:46 <REP> ESET
24/10/2006 07:44 <REP> Everest
07/01/2007 11:50 <REP> Executive Software
26/11/2007 14:15 <REP> FDRLab
02/01/2008 10:28 <REP> Fichiers communs
25/04/2007 13:38 <REP> FileMaker
16/10/2006 00:08 <REP> FoxitReader
09/03/2007 19:00 <REP> Free.fr
27/08/2007 08:24 <REP> Google
14/06/2006 18:46 <REP> IE Privacy Keeper
12/12/2007 16:04 <REP> Internet Explorer
16/10/2007 07:46 <REP> Java
09/03/2007 13:30 <REP> jv16 PowerTools 2006
25/07/2006 22:29 <REP> K-Lite Codec Pack
20/12/2007 11:59 <REP> Lavasoft
28/07/2006 00:02 <REP> LClock
04/11/2006 01:44 <REP> Maxthon
07/01/2007 12:38 <REP> Messenger
09/03/2007 17:49 <REP> Messenger Plus! Live
03/04/2007 08:53 <REP> Microsoft Office
13/03/2007 16:27 <REP> Microsoft Visual Studio
13/03/2007 16:28 <REP> Microsoft Works
13/03/2007 16:26 <REP> Microsoft.NET
27/12/2006 20:49 <REP> Movie Maker
03/01/2008 15:25 <REP> Mozilla Firefox
09/03/2007 12:06 <REP> MSECache
27/12/2006 20:46 <REP> MSN
27/12/2006 20:47 <REP> MSN Gaming Zone
09/03/2007 17:49 <REP> MSN Messenger
07/01/2007 11:49 <REP> MSXML 4.0
15/08/2007 10:21 <REP> MSXML 6.0
03/01/2008 16:23 <REP> Navilog1
09/03/2007 17:25 <REP> Nero
27/12/2006 20:49 <REP> NetMeeting
09/03/2007 20:47 <REP> Nod32
27/12/2006 20:47 <REP> Online Services
23/11/2007 09:58 <REP> Ontrack
13/06/2007 15:58 <REP> Outlook Express
18/09/2007 08:02 <REP> PDFCreator
18/09/2007 08:01 <REP> PDFCreator Toolbar
20/12/2007 17:00 <REP> Quark
29/11/2007 08:45 <REP> Rar Repair Tool
28/01/2007 09:20 <REP> Real
01/01/2008 11:51 <REP> RegCleaner
14/06/2006 18:46 <REP> RegSeeker
27/12/2006 20:50 <REP> Services en ligne
11/12/2007 11:13 <REP> Shareaza
14/06/2006 22:53 <REP> Soft4Ever
16/10/2007 07:46 <REP> Sun
07/01/2007 12:00 <REP> Symantec
22/11/2007 15:41 <REP> TSL
05/07/2006 03:20 <REP> TweakRAM
14/06/2006 18:46 <REP> UberIcon
25/11/2007 09:41 <REP> Whisper Technology
09/03/2007 12:07 <REP> Windows Installer Clean Up
07/01/2007 12:09 <REP> Windows Media Connect 2
09/03/2007 17:46 <REP> Windows Media Player
27/12/2006 20:47 <REP> Windows NT
17/01/2007 17:38 <REP> WinISO
09/03/2007 17:27 <REP> WinRAR
27/12/2006 20:53 <REP> xerox
09/03/2007 13:23 <REP> Yahoo!
0 fichier(s) 0 octets
79 Rép(s) 126 431 989 760 octets libres
Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\Program Files\fichiers communs

02/01/2008 10:28 <REP> .
02/01/2008 10:28 <REP> ..
16/09/2007 18:49 <REP> Adobe
07/01/2007 11:51 <REP> Ahead
03/04/2007 08:55 <REP> Autodesk Shared
18/01/2007 15:37 <REP> Crystal Decisions
03/04/2007 08:53 <REP> DESIGNER
22/03/2007 08:52 <REP> InstallShield
16/10/2007 07:42 <REP> Java
03/04/2007 08:53 <REP> Microsoft Shared
27/12/2006 20:49 <REP> MSSoap
02/04/2007 17:23 <REP> ODBC
28/01/2007 10:12 <REP> Real
09/03/2007 17:16 <REP> Services
27/12/2006 12:01 <REP> SpeechEngines
07/01/2007 12:00 <REP> Symantec Shared
13/06/2007 15:58 <REP> System
02/01/2008 10:28 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
18 Rép(s) 126 431 989 760 octets libres
Le volume dans le lecteur C s'appelle Disque SATA250
Le numéro de série du volume est C4EA-6A55

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

13/03/2007 16:27 <REP> .
13/03/2007 16:27 <REP> ..
18/01/2007 09:03 <REP> 1033
13/03/2007 16:22 <REP> 1036
26/10/2006 19:49 970 528 MSONSEXT.DLL
26/10/2006 20:12 40 256 MSOSV.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 341 202 octets
4 Rép(s) 126 431 989 760 octets libres




c:\Documents and Settings\Administrateur\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe
c:\Documents and Settings\Administrateur\Mes documents\Downloads\NOD32.FiX.v1.9-nsane.exe
c:\Documents and Settings\Administrateur.6E1F470EB8DD483\Local Settings\Temp\ose00000.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Local Settings\Application Data\Shareaza\Incomplete\Lavasoft AdAware Pro 2007.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Local Settings\Application Data\Shareaza\Incomplete\Microsoft.Office 2007 Keygen.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\ccsetup203.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\ComboFix.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Deamon Tools 4.08.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Firefox Setup 2.0.0.9.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Google_Earth_BZXD.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\installer-49784-33-YouTuBE-downloader-French(2).exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\installer-49784-33-YouTuBE-downloader-French.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\j1512013111.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\jdk-6u3-windows-i586-p.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\jre-6u1-windows-i586-p-iftw.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\jre-6u1-windows-i586-p-s.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Navilog1.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\pdfcreator_pdfcreator_0.9.3_francais_11085(2).exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\pdfcreator_pdfcreator_0.9.3_francais_11085(3).exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\RegCleaner.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\setupfre.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Shareaza_2.3.0.0.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\ToolsCleaner2.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\vidj1w98v5495-47(2).exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\vidj1w98v5495-47.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\VundoFix.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\WinME.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\AutoCAD_2008_Portable\acad.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\AutoCAD_2008_Portable\keygen.exe
c:\Documents and Settings\Administrateur.72FE02D314F24D6\Mes documents\Downloads\Autodesk Autocad Map 3D v2008\_FiX\map3d-2008-keygen.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\aspiinst.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\CMDS.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\CMDS16.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\E.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\GUEST.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\MSCDEX.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\Net.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\OHCI.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\PROTMAN.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\common\UHCI.EXE
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService.AUTORITE NT\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\LocalService.AUTORITE NT.001\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_72FE02D314F24D6.tar.gz a l'adresse http://upload.malekal.com

Essaie de l'envoyer là (le fichier)
http://upload.malekal.com/

Je regarde ton rapport diaghelp.

il y a quand même des informations sur mon ordi qui sont confidentielles.
Est possible des les virer après?

Virer quoi ? Aucun contenu personnel n'est transmis dans tout le processus.

c'est envoyé

j'ai recherché dans regedit ce fichier dll et j'ai trouvé ceci:

est-ce que je peux l'effacer sans risques?

Poste un rapport HijackThis frais stp.

Bonjour
Voici un hijacklog neuf.
Je précise que le message dll est présent sur le burea (un clic sur la croisx le fait disparître).
Nh7Ye22XOi se trouve dans ..... \software\microsoft\Search assistant\...., ce qui doit être nornal si je fais une recherche

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07, on 04/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\topdesk.exe
C:\Program Files\Nod32\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Nod32\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\DOCUME~1\ADMINI~1.72F\LOCALS~1\Temp\Rar$EX49.671\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32\topdesk.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Nh7Ye22XOi] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: gebywxx - gebywxx.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe

--
End of file - 7432 bytes

On va le shooter.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).

fin de la ligne qu'on ne voit pas dans ma capture d'écran
....ndaTqsVqrX.dll".Dll Clean Server

Je ne comprends pas (morceaux de post ?) peux-tu poster le rapport combofix ?

Il s'agit de la ligne que j'ai relevée hier dans regedit (nos réponses se sont croisées)
Voici de rapport de combofix tout frais:

ComboFix 08-01-02.1 - Administrateur 2008-01-04 17:26:19.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.36 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))
.

2008-01-03 17:21 . 2008-01-03 17:21 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2008-01-03 17:18 . 2008-01-03 17:18 17,544,334 --a------ C:\upload_moi_72FE02D314F24D6.tar.gz
2008-01-03 16:14 . 2008-01-03 16:23 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 18:20 . 2008-01-02 18:21 72,488 --a------ C:\cc_20080102_1820.reg
2008-01-02 17:37 . 2008-01-02 17:37 <REP> d-------- C:\VundoFix Backups
2008-01-02 17:03 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 10:29 . 2008-01-02 10:29 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-01-02 10:28 . 2008-01-02 10:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-01 11:39 . 2008-01-01 11:51 <REP> d-------- C:\Program Files\RegCleaner
2007-12-30 09:44 . 2007-12-30 09:44 23,040 --a------ C:\Rapport 29.doc
2007-12-21 12:43 . 2007-12-21 12:43 <REP> d-------- C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Lavasoft
2007-12-20 17:26 . 2007-12-20 17:26 <REP> d-------- C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Quark
2007-12-20 17:00 . 2007-12-20 17:00 <REP> d-------- C:\Program Files\Quark
2007-12-20 11:59 . 2007-12-20 11:59 <REP> d-------- C:\Program Files\Lavasoft
2007-12-12 15:20 . 2007-07-06 13:50 660,992 -----c--- C:\WINDOWS\system32\dllcache\mqqm.dll
2007-12-12 15:20 . 2007-07-06 13:50 527,360 -----c--- C:\WINDOWS\system32\dllcache\mqutil.dll
2007-12-12 15:20 . 2007-07-06 13:50 177,152 -----c--- C:\WINDOWS\system32\dllcache\mqrt.dll
2007-12-12 15:20 . 2007-07-06 13:50 138,240 -----c--- C:\WINDOWS\system32\dllcache\mqad.dll
2007-12-12 15:20 . 2007-07-06 13:50 95,744 -----c--- C:\WINDOWS\system32\dllcache\mqsec.dll
2007-12-12 15:20 . 2007-07-06 11:05 72,960 -----c--- C:\WINDOWS\system32\dllcache\mqac.sys
2007-12-12 15:20 . 2007-07-06 13:50 48,640 -----c--- C:\WINDOWS\system32\dllcache\mqupgrd.dll
2007-12-12 15:20 . 2007-07-06 13:50 47,104 -----c--- C:\WINDOWS\system32\dllcache\mqdscli.dll
2007-12-12 15:20 . 2007-07-06 13:50 16,896 -----c--- C:\WINDOWS\system32\dllcache\mqise.dll
2007-12-12 15:19 . 2007-10-29 23:43 1,293,824 -----c--- C:\WINDOWS\system32\dllcache\quartz.dll
2007-12-12 15:19 . 2007-11-14 08:28 450,560 -----c--- C:\WINDOWS\system32\dllcache\jscript.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-02 14:33 --------- d-----w C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\AdobeUM
2008-01-02 14:21 --------- d-----w C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Canon
2008-01-02 10:07 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-01-01 13:08 --------- d-----w C:\Program Files\CartoNavPlus
2007-12-21 11:42 --------- d-----w C:\Program Files\Ad-Aware
2007-12-11 10:13 --------- d-----w C:\Program Files\Shareaza
2007-11-29 07:45 --------- d-----w C:\Program Files\Rar Repair Tool
2007-11-26 13:15 --------- d-----w C:\Program Files\FDRLab
2007-11-25 08:41 --------- d-----w C:\Program Files\Whisper Technology
2007-11-23 12:40 --------- d-----w C:\Program Files\ElcomSoft
2007-11-23 09:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-23 09:11 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\BVRP Software
2007-11-23 08:58 --------- d-----w C:\Program Files\Ontrack
2007-11-22 14:41 --------- d-----w C:\Program Files\TSL
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-02_17.10.09,84 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-01-04 16:32:47 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_2b8.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]
"Ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-02 21:33 7700480]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-02 21:33 86016]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 03:37 121089]
"TopDesk"="C:\WINDOWS\system32\topdesk.exe" [2006-11-06 20:31 195584]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 17:52 184408]
"nod32kui"="C:\Program Files\Nod32\nod32kui.exe" [2007-03-09 17:26 921600]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2007-04-10 07:07 364612]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide3"="cmd.exe" [2006-06-20 11:15 403968 C:\WINDOWS\system32\cmd.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"Nh7Ye22XOi"= rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebywxx]
gebywxx.dll

R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2006-10-09 00:30]
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2006-10-09 00:30]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-09 00:30]
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 19:01]
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2007-03-09 21:36]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 00:58]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService REG_MULTI_SZ WebClient LmHosts upnphost SSDPSRV


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1B323974-9D09-774A-0507-020300020002}]
C:\WINDOWS\Nod32.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 17:33:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\topdesk.dll
-> C:\Windows\System32\VttHooks.dll
-> C:\Program Files\UberIcon\UberIcon.dll
-> C:\Program Files\LClock\LC.dll
.
Completion time: 2008-01-04 17:35:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-04 16:35:27
ComboFix2.txt 2008-01-02 16:10:41
.
2007-12-21 16:37:47 --- E O F ---