Bonjour/Bonsoir à tous,

Voila le problème que je souhaite résoudre : Mon joli fond d’écran c’est transformé en un fond rouge avec les termes terribles indiquant : « Your privacy are in danger ». J’ai des fenêtre IE qui apparaissent fréquemment me ventant un pseudo antivirus nommé nettoyeur de pc ou et ultimate defender. J’ai fait une analyse avec spybot, qui n’a pas réussi à enlever la bête. J’ai essayé de supprimé moi-même le fichier, sous window/privacy in danger, mais le fichier revient à chaque fois. Que faire ?

Hello sam11

Ultimate Defender est un faux anti-spyware (rogue) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infectés par un spyware et vous recommande d'acheter l'anti-spyware Ultimate Defender qui est un produit commercial.

Supprimer Ultimate Defender

good luck

Slts _DELL_

Sujet déplacé dans le bon forum/_DELL_

C'est une infection par un rogue.

Si tu postes un rapport hijackthis (2.0.2) et/ou un rapport diaghelp, on te nettoiera ça avec plaisir.

Télécharge et lance DiagHelp comme montré dans ce tuto :http://www.malekal.com/DiagHelp/DiagHelp.php
Ne lance que l'option 1 et poste le rapport stp.
Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

hello,
voila le rapport. Dites moi si vous avez besoins du rapport avec l'autre logiciel.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:57, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Mozzilla firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Adrien\LOCALS~1\Temp\Rar$EX00.938\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\windows\system32\NOTEPAD.EXE
C:\Program Files\Outlook Express\msimn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\windows\mxduo.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'tinypgsvc')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NeroScoutOptions.exe (User 'tinypgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: wmpdev - {FE1B3BE1-EA6A-4C31-A339-F679AE81D61B} - C:\windows\wmpdev.dll
O21 - SSODL: wmphost - {18F9FFF6-0C95-4F83-A2AD-1FDB79783114} - C:\windows\wmphost.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4Tiny ERP Demo\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\windows\privacy_danger\index.htm

--
End of file - 6347 bytes

Je vote pour un rapport diaghelp à la suite.

Falkra a écrit:Je vote pour un rapport diaghelp à la suite.

DiagHelp version v1.2 - http://www.malekal.com
excute le 05.09.2007 à 23:02:04.04


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\windows\prefetch\CMD.EXE-087B4001.pf -->05.09.2007 23:01:24
C:\windows\prefetch\WINRAR.EXE-39C6DAD9.pf -->05.09.2007 23:00:52
C:\windows\prefetch\POSTGRES.EXE-2627B88E.pf -->05.09.2007 23:00:39
C:\windows\prefetch\IEXPLORE.EXE-27122324.pf -->05.09.2007 22:57:31
C:\windows\prefetch\FIREFOX.EXE-20E5D525.pf -->05.09.2007 22:57:19
C:\windows\prefetch\IMAPI.EXE-0BF740A4.pf -->05.09.2007 22:15:37
C:\windows\prefetch\WUAUCLT.EXE-399A8E72.pf -->05.09.2007 22:12:12
C:\windows\prefetch\WMIPRVSE.EXE-28F301A9.pf -->05.09.2007 22:12:12
C:\windows\prefetch\NTOSBOOT-B00DFAAD.pf -->05.09.2007 22:12:12
C:\windows\prefetch\LOGONUI.EXE-0AF22957.pf -->05.09.2007 22:08:59

C:\windows\System32\drivers\fidbox2.idx -->05.09.2007 22:09:26
C:\windows\System32\drivers\fidbox2.dat -->05.09.2007 22:09:26
C:\windows\System32\drivers\fidbox.idx -->05.09.2007 22:09:25
C:\windows\System32\drivers\fidbox.dat -->05.09.2007 22:09:25
C:\windows\System32\drivers\klin.dat -->05.09.2007 13:13:17
C:\windows\System32\drivers\klick.dat -->05.09.2007 13:13:17
C:\windows\System32\drivers\klop.dat -->28.06.2007 12:50:52

C:\windows\System32\wpa.dbl -->05.09.2007 21:50:09
C:\windows\System32\CONFIG.NT -->04.09.2007 09:18:44
C:\windows\System32\TZLog.log -->29.08.2007 18:01:31
C:\windows\System32\BIPORT -->27.08.2007 23:01:28
C:\windows\System32\kavsvc.exception.log -->22.08.2007 10:45:20
C:\windows\System32\kavsvc.dmp -->22.08.2007 10:45:20
C:\windows\System32\MRT.exe -->03.08.2007 06:34:10
C:\windows\System32\wuaucpl.cpl.mui -->30.07.2007 19:20:06
C:\windows\System32\wuapi.dll.mui -->30.07.2007 19:19:52
C:\windows\System32\wuaueng.dll -->30.07.2007 19:19:42
C:\windows\System32\wuapi.dll -->30.07.2007 19:19:36
C:\windows\System32\wucltui.dll -->30.07.2007 19:19:32
C:\windows\System32\wuweb.dll -->30.07.2007 19:19:28
C:\windows\System32\wuaucpl.cpl -->30.07.2007 19:19:28
C:\windows\System32\cdm.dll -->30.07.2007 19:19:20
C:\windows\System32\wuauclt.exe -->30.07.2007 19:19:16
C:\windows\System32\wups2.dll -->30.07.2007 19:19:12
C:\windows\System32\wucltui.dll.mui -->30.07.2007 19:19:04
C:\windows\System32\wuaueng.dll.mui -->30.07.2007 19:18:48
C:\windows\System32\wups.dll -->30.07.2007 19:18:40
C:\windows\System32\lvcoinst.log -->24.07.2007 19:19:27
C:\windows\System32\Installer.log -->24.07.2007 18:23:25
C:\windows\System32\tzchange.exe -->18.07.2007 14:42:22
C:\windows\System32\FNTCACHE.DAT -->05.07.2007 16:51:07
C:\windows\System32\klogon.dll -->28.06.2007 12:51:48

C:\windows\dat.txt -->05.09.2007 22:58:54
C:\windows\0.log -->05.09.2007 22:14:25
C:\windows\wiadebug.log -->05.09.2007 22:10:59
C:\windows\WindowsUpdate.log -->05.09.2007 22:10:53
C:\windows\wiaservc.log -->05.09.2007 22:10:51
C:\windows\bootstat.dat -->05.09.2007 22:10:34
C:\windows\SchedLgU.Txt -->05.09.2007 22:09:12
C:\windows\wmsetup.log -->05.09.2007 20:37:47
C:\windows\rs.txt -->05.09.2007 16:54:28
C:\windows\iPlayer.INI -->05.09.2007 13:25:27
C:\windows\setupapi.log -->04.09.2007 21:37:25
C:\windows\main_uninstaller.exe -->03.09.2007 11:18:08
C:\windows\mxduo.dll -->03.09.2007 11:17:40
C:\windows\wmpdev.dll -->03.09.2007 11:17:20
C:\windows\wmphost.dll -->03.09.2007 11:17:02


MD5 des fichiers sensibles
tcpip.sys 1dbf125862891817f374f407626967f4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 2979b03d5382a602623c0535b16ab9c0


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\windows\system

07.02.2007 23:50 0 wowpost.exe
1 fichier(s) 0 octets
0 Rép(s) 25'055'846'400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\windows\system32

19.08.2004 16:09 6'144 csrss.exe
1 fichier(s) 6'144 octets
0 Rép(s) 25'055'842'304 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\windows\Downloaded Program Files

02.07.2007 20:53 <REP> .
02.07.2007 20:53 <REP> ..
24.08.2006 09:28 141'424 asinst.dll
22.08.2006 10:06 537 asinst.inf
11.10.2006 11:01 65 desktop.ini
14.10.2006 01:16 723 hcImpl.inf
25.10.2006 13:18 385'536 Housecall_ActiveX.dll
08.08.2006 12:45 576 kavwebscan.inf
27.03.2007 16:00 5'021 swflash.inf
7 fichier(s) 533'882 octets

Total des fichiers listés :
7 fichier(s) 533'882 octets
2 Rép(s) 25'055'842'304 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="D:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"D:\\Program Files\\GameSpy Arcade\\Aphex.exe"="D:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"D:\\Program Files\\SHARE 1.0 EX2\\Share.exe"="D:\\Program Files\\SHARE 1.0 EX2\\Share.exe:*:Enabled:Share"
"D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Program Files\\Gridella\\Gridella.exe"="D:\\Program Files\\Gridella\\Gridella.exe:*:Enabled:LaunchAnywhere GUI"
"D:\\Program Files\\TrackMania Sunrise Extreme Demo\\TmSunriseExtremeDemo.exe"="D:\\Program Files\\TrackMania Sunrise Extreme Demo\\TmSunriseExtremeDemo.exe:*:Enabled:TmSunriseExtremeDemo"
"D:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe"="D:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe:*:Enabled:SWAT 4 - The Stetchkov Syndicate"
"D:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe"="D:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe:*:Enabled:SWAT 4 - The Stetchkov Syndicate Dedicated Server"
"D:\\Program Files\\NovaLogic\\Delta Force Black Hawk Down\\UPDATE.EXE"="D:\\Program Files\\NovaLogic\\Delta Force Black Hawk Down\\UPDATE.EXE:*:Enabled:UPDATE"
"D:\\Program Files\\NovaLogic\\Delta Force Black Hawk Down\\DFBHDLC.EXE"="D:\\Program Files\\NovaLogic\\Delta Force Black Hawk Down\\DFBHDLC.EXE:*:Enabled:DFBHDLC"
"D:\\Program Files\\Mozzilla firefox\\firefox.exe"="D:\\Program Files\\Mozzilla firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"="D:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe:*:Enabled:Kaspersky Anti-Virus Service"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\Program Files\\Electronic Arts\\Démo de Battlefield 2142\\BF2142.exe"="D:\\Program Files\\Electronic Arts\\Démo de Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe"="C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe:*:Enabled:Zuma"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

REGEDIT4

[taskmgr.exe]


exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-05 23:03:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:6b7b5601
"s2"=dword:209e9516
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:a2,2b,36,9c,9d,39,65,b3,c0,c0,69,66,34,61,94,ac,93,a3,d9,90,c8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:a2,2b,36,9c,9d,39,65,b3,c0,c0,69,66,34,61,94,ac,93,a3,d9,90,c8,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000144

scanning hidden files ...

C:\windows\system32:lzx32.sys 69550 bytes executable

scan completed successfully
hidden files: 1


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
452 - explorer.exe
524 - svchost.exe
592 - avp.exe
620 - msmsgs.exe
648 - emule.exe
672 - hpohmr08.exe
772 - hpoevm08.exe
868 - csrss.exe
896 - winlogon.exe
940 - services.exe
952 - lsass.exe
1140 - svchost.exe
1272 - svchost.exe
1372 - svchost.exe
1492 - svchost.exe
1564 - guard.exe
1616 - avp.exe
1740 - ati2evxx.exe
2228 - postgres.exe
2448 - postgres.exe
2472 - postgres.exe
2504 - iexplore.exe
2616 - iexplore.exe
2844 - WinRAR.exe
3024 - avgas.exe
3444 - firefox.exe
3820 - iexplore.exe

Total number of processes = 28
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \windows\system32\ntoskrnl.exe
806FD000 - \windows\system32\hal.dll
F8A35000 - \windows\system32\KDCOM.DLL
F8945000 - \windows\system32\BOOTVID.dll
F843D000 - sptd.sys
F8A37000 - \windows\System32\Drivers\WMILIB.SYS
F8425000 - \windows\System32\Drivers\SCSIPORT.SYS
F83FD000 - a347bus.sys
F83DD000 - imagesrv.sys
F83AE000 - ACPI.sys
F839D000 - pci.sys
F8535000 - isapnp.sys
F8AFD000 - pciide.sys
F87B5000 - \windows\System32\DRIVERS\PCIIDEX.SYS
F8545000 - MountMgr.sys
F837E000 - ftdisk.sys
F87BD000 - PartMgr.sys
F8A39000 - siside.sys
F8555000 - sfsync02.sys
F8565000 - VolSnap.sys
F8366000 -
F8A3B000 - imagedrv.sys
F8A3D000 - a347scsi.sys
F8575000 - disk.sys
F8585000 - \windows\System32\DRIVERS\CLASSPNP.SYS
F8346000 - fltmgr.sys
F8334000 - sr.sys
F8595000 - PxHelp20.sys
F831D000 - KSecDD.sys
F8290000 - Ntfs.sys
F8263000 - NDIS.sys
F85A5000 - uagp35.sys
F8949000 - sisperf.sys
F85B5000 - sisidex.sys
F85C5000 - SISAGPX.sys
F824F000 - sfvfs02.sys
F87C5000 - sfhlp02.sys
F823D000 - sfdrv01.sys
F8222000 - Mup.sys
F8206000 - kl1.sys
F87CD000 - \windows\system32\drivers\TDI.SYS
F77A9000 - \SystemRoot\System32\DRIVERS\intelppm.sys
F752B000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys
F7517000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F889D000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7503000 - \SystemRoot\System32\DRIVERS\parport.sys
F74F2000 - \SystemRoot\System32\DRIVERS\serial.sys
F8156000 - \SystemRoot\System32\DRIVERS\serenum.sys
F7799000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F88A5000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F88AD000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F8152000 - \SystemRoot\System32\DRIVERS\gameenum.sys
F7779000 - \SystemRoot\System32\DRIVERS\imapi.sys
F88B5000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys
F8655000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F8665000 - \SystemRoot\System32\DRIVERS\redbook.sys
F74CF000 - \SystemRoot\System32\DRIVERS\ks.sys
F744C000 - \SystemRoot\system32\drivers\smwdm.sys
F7428000 - \SystemRoot\system32\drivers\portcls.sys
F8685000 - \SystemRoot\system32\drivers\drmk.sys
F8A6B000 - \SystemRoot\system32\drivers\aeaudio.sys
F88BD000 - \SystemRoot\System32\DRIVERS\usbohci.sys
F7405000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F88C5000 - \SystemRoot\System32\DRIVERS\usbehci.sys
F88CD000 - \SystemRoot\system32\DRIVERS\sisnicxp.sys
F88D5000 - \SystemRoot\system32\DRIVERS\klim5.sys
F8B67000 - \SystemRoot\System32\DRIVERS\audstub.sys
F86E5000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7D89000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F73EE000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F86F5000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F8705000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F73DD000 - \SystemRoot\System32\DRIVERS\psched.sys
F8715000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F88E5000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F88ED000 - \SystemRoot\System32\DRIVERS\raspti.sys
F8725000 - \SystemRoot\System32\DRIVERS\termdd.sys
F8A83000 - \SystemRoot\System32\DRIVERS\swenum.sys
F7384000 - \SystemRoot\System32\DRIVERS\update.sys
F7D85000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F8735000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F88FD000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F8775000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F8A87000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F8A89000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B9F000 - \SystemRoot\System32\Drivers\Null.SYS
F8A8B000 - \SystemRoot\System32\Drivers\Beep.SYS
F8BA0000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F890D000 - \SystemRoot\System32\drivers\vga.sys
F8A8D000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A8F000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F8915000 - \SystemRoot\System32\Drivers\Msfs.SYS
F891D000 - \SystemRoot\System32\Drivers\Npfs.SYS
F81D2000 - \SystemRoot\System32\DRIVERS\rasacd.sys
EF2C8000 - \SystemRoot\System32\DRIVERS\ipsec.sys
EF270000 - \SystemRoot\System32\DRIVERS\tcpip.sys
EF248000 - \SystemRoot\System32\DRIVERS\netbt.sys
EF227000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F8785000 - \SystemRoot\System32\DRIVERS\wanarp.sys
EF205000 - \SystemRoot\System32\drivers\afd.sys
F8795000 - \SystemRoot\System32\DRIVERS\netbios.sys
EF112000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F8C12000 - \SystemRoot\System32\Drivers\PQNTDrv.SYS
EF0A3000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
EF065000 - \??\C:\windows\system32\drivers\klif.sys
F8605000 - \SystemRoot\System32\Drivers\Fips.SYS
F8C1A000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
EF054000 - \SystemRoot\System32\Drivers\Udfs.SYS
F819A000 - \SystemRoot\System32\DRIVERS\hidusb.sys
F8625000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
F892D000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F8935000 - \SystemRoot\System32\DRIVERS\usbccgp.sys
F8635000 - \SystemRoot\system32\drivers\lvusbsta.sys
F817E000 - \SystemRoot\system32\DRIVERS\usbscan.sys
F893D000 - \SystemRoot\system32\DRIVERS\usbprint.sys
F87DD000 - \SystemRoot\system32\DRIVERS\HPZius12.sys
F8645000 - \SystemRoot\system32\DRIVERS\HPZid412.sys
F7380000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys
EF014000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A93000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7374000 - \SystemRoot\System32\drivers\Dxapi.sys
F87FD000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F8B0E000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\ati2dvag.dll
BFA1A000 - \SystemRoot\System32\ati2cqag.dll
BFA71000 - \SystemRoot\System32\atikvmag.dll
BFAC0000 - \SystemRoot\System32\ati3duag.dll
BFD71000 - \SystemRoot\System32\ativvaxx.dll
ECF00000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
ECBC7000 - \SystemRoot\system32\drivers\wdmaud.sys
ECD24000 - \SystemRoot\system32\drivers\sysaudio.sys
EC75C000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F8AE3000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F8AED000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys
EC61A000 - \SystemRoot\System32\DRIVERS\srv.sys
EC9C1000 - \SystemRoot\System32\DRIVERS\secdrv.sys
EC518000 - \??\C:\windows\system32\drivers\tmcomm.sys
EC15A000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F86D5000 - \SystemRoot\System32\Drivers\Cdfs.SYS
EC119000 - \SystemRoot\System32\Drivers\HTTP.sys
EC09E000 - \SystemRoot\system32\drivers\kmixer.sys
F8C40000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 144

Liste des programmes installes

Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.9 - Français
Adobe Shockwave Player
Alexandra Ledermann 4
Archiveur WinRAR
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
AVG Anti-Spyware 7.5
Battlefield 2(TM)
CloneCD
Commande ECHO désactivée.
ConTEXT
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885626
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
COSMOPOLITAN Virtual Look 3
Delta Force - Black Hawk Down
Disc2Phone
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DivXG400
Démo de Battlefield 2142
DVD Decrypter (Remove Only)
DVD Shrink 3.2
easydriver 2007 Installation
eMule
GameSpy Arcade
Google Earth
Google Earth Pro
Gridella
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
hp psc 1200 series
hp psc 1200 series
ICQ 5
Installer
InterActual Player
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 6
Kaspersky Internet Security 7.0
Kaspersky Internet Security 7.0
Kaspersky Online Scanner
LA PHILOSOPHIE
Lecteur Windows Media 11
LimeWire PRO 4.12.3
Logiciel QuickCam de Logitech
Macromedia Dreamweaver 8
Macromedia Extension Manager
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Flight Simulator X
Microsoft Flight Simulator X
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB921883)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB929969)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931768)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
Morse Trainer
Mozilla Firefox (2.0.0.6)
Mozilla Thunderbird (2.0.0.4)
MSN Messenger 7.5
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 Parser and SDK
Nero 7 Premium
Nero Digital
Notepad++
Panda ActiveScan
PaperPort 8.0 SE
PartitionMagic
PE Builder 3.1.10a
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 1200 series
PhotoFiltre
PostgreSQL 8.1
Power IEv3
PowerQuest PartitionMagic 8.0
Programme de gestion Camera de Logitech®
QuickTime
RealPlayer
SiS 900 PCI Fast Ethernet Adapter Driver
Skype 2.5
Sony Ericsson PC Suite 1.20.224
SoundMAX
Spybot - Search & Destroy 1.4
Steam(TM)
SubViewer 3.051
SWAT 4
SWAT 4
SWAT 4 - The Stetchkov Syndicate
TeamSpeak 2 RC2
TrackMania Sunrise Extreme Demo 1.5.0
True Crime® New York City
TuneUp Utilities 2007
Unlocker 1.8.5
VideoLAN VLC media player 0.8.5
WebFldrs XP
WebVideo Support
Windows Genuine Advantage Notifications (KB905474)
Windows Installer 3.1 (KB893803)
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 2
Zuma Deluxe 1.0



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\Program Files

05.09.2007 21:56 <REP> .
05.09.2007 21:56 <REP> ..
11.10.2006 14:31 <REP> Adobe
28.02.2007 23:04 <REP> Ahead
30.04.2007 18:53 <REP> Alcohol Soft
12.02.2007 19:26 <REP> Alwil Software
11.10.2006 11:23 <REP> Analog Devices
28.12.2006 00:40 <REP> ATI Technologies
20.04.2007 21:16 <REP> Canon
04.06.2007 18:41 <REP> CD_Philo
11.10.2006 11:00 <REP> ComPlus Applications
28.12.2006 12:52 <REP> Disc2Phone
15.03.2007 08:47 <REP> DivX
07.02.2007 21:37 <REP> DVD Decrypter
21.06.2007 19:55 <REP> ed
24.07.2007 18:16 <REP> Fichiers communs
27.06.2007 19:48 <REP> Google
05.09.2007 21:56 <REP> Grisoft
19.06.2007 20:01 <REP> Hewlett-Packard
01.11.2006 16:39 <REP> ICQLite
01.07.2007 17:08 <REP> IncrediMail
07.02.2007 21:45 <REP> InterActual
15.08.2007 10:49 <REP> Internet Explorer
10.08.2007 16:27 <REP> IrfanView
11.10.2006 16:02 <REP> Java
04.09.2007 21:37 <REP> Kaspersky Lab
24.07.2007 18:16 <REP> Logitech
13.10.2006 11:54 <REP> Messenger
17.02.2007 19:39 <REP> microsoft frontpage
21.05.2007 19:38 <REP> Microsoft Games
11.10.2006 19:18 <REP> Microsoft.NET
11.10.2006 11:16 <REP> Movie Maker
02.07.2007 17:45 <REP> Mozilla Thunderbird
11.10.2006 10:59 <REP> MSN
11.10.2006 10:59 <REP> MSN Gaming Zone
11.10.2006 12:30 <REP> MSN Messenger
28.12.2006 20:09 <REP> MSXML 4.0
11.10.2006 14:28 <REP> Nero
11.10.2006 11:15 <REP> NetMeeting
14.06.2007 00:24 <REP> Outlook Express
06.07.2007 18:31 <REP> PopCap Games
24.01.2007 20:50 <REP> PostgreSQL4Tiny ERP Demo
23.01.2007 22:29 <REP> Power IE
11.10.2006 12:10 <REP> PowerQuest
29.11.2006 19:58 <REP> Real
23.06.2007 18:27 <REP> Rema Fahrschule
03.11.2006 22:59 <REP> Scansoft
11.10.2006 11:01 <REP> Services en ligne
27.11.2006 18:33 <REP> Skype
18.06.2007 19:34 <REP> SlySoft
28.12.2006 12:38 <REP> Sony Ericsson
02.02.2007 20:02 <REP> SubViewer3
07.05.2007 10:47 <REP> Teamspeak2_RC2
09.02.2007 22:55 <REP> Tiny ERP Complete
06.07.2007 18:31 <REP> Trymedia
04.09.2007 21:51 <REP> TuneUp Utilities 2007
28.12.2006 13:29 <REP> Ubi Soft
28.12.2006 00:57 <REP> UbiSoft
04.09.2007 08:54 <REP> VideoAccessCodec
24.11.2006 17:41 <REP> Windows Media Connect 2
07.02.2007 23:50 <REP> Windows Media Player
11.10.2006 11:15 <REP> Windows NT
11.10.2006 11:25 <REP> WinRAR
11.10.2006 11:02 <REP> xerox
0 fichier(s) 0 octets
64 Rép(s) 25'053'761'536 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\Program Files\fichiers communs

24.07.2007 18:16 <REP> .
24.07.2007 18:16 <REP> ..
23.01.2007 21:18 <REP> Adobe
11.10.2006 14:28 <REP> Ahead
11.10.2006 19:18 <REP> DESIGNER
02.05.2007 18:49 <REP> DirectX
19.06.2007 20:01 <REP> Hewlett-Packard
03.11.2006 23:04 <REP> InstallShield
11.10.2006 16:00 <REP> Java
24.07.2007 18:16 <REP> Logitech
20.10.2006 15:17 <REP> Macromedia
21.05.2007 19:38 <REP> Microsoft Shared
11.10.2006 11:00 <REP> MSSoap
11.10.2006 11:53 <REP> ODBC
29.11.2006 19:58 <REP> Real
03.11.2006 23:00 <REP> scansoft shared
11.10.2006 11:00 <REP> Services
11.10.2006 11:53 <REP> SpeechEngines
14.06.2007 00:24 <REP> System
28.12.2006 12:39 <REP> Teleca Shared
04.07.2007 19:42 <REP> Wise Installation Wizard
29.11.2006 19:58 <REP> xing shared
0 fichier(s) 0 octets
22 Rép(s) 25'053'761'536 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

11.10.2006 19:09 <REP> .
11.10.2006 19:09 <REP> ..
11.10.2006 17:14 <REP> 1033
11.10.2006 19:18 <REP> 1036
11.07.2003 10:15 1'292'872 MSONSEXT.DLL
15.07.2003 06:52 35'896 MSOSV.DLL
03.06.1999 14:09 122'937 MSOWS409.DLL
07.03.2001 09:00 127'033 MSOWS40c.DLL
11.07.2003 02:25 80'448 PKMWS.DLL
5 fichier(s) 1'659'186 octets
4 Rép(s) 25'053'745'152 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BCD4-75CB

Répertoire de C:\

23.12.2006 18:34 0 avqid.exe
23.12.2006 18:34 0 yllwiq.exe
2 fichier(s) 0 octets
0 Rép(s) 25'053'745'152 octets libres




c:\Documents and Settings\Adrien\.housecall6.6\getMac.exe
c:\Documents and Settings\Adrien\.housecall6.6\patch.exe
c:\Documents and Settings\Adrien\.housecall6.6\tsc.exe
c:\Documents and Settings\Adrien\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Adrien\Application Data\LimeWire\.NetworkShare\LimeWireWin4.12.11.exe
c:\Documents and Settings\Adrien\Application Data\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
c:\Documents and Settings\Adrien\Application Data\Microsoft\Installer\{AF7C627C-F354-4FF1-8450-398C806B436E}\_3d366f1d.exe
c:\Documents and Settings\Adrien\Application Data\Microsoft\Installer\{AF7C627C-F354-4FF1-8450-398C806B436E}\_4bde371b.exe
c:\Documents and Settings\Adrien\Application Data\Microsoft\Installer\{C920EFB6-59DB-472D-B445-21821477AD17}\ARPPRODUCTICON.exe
c:\Documents and Settings\Adrien\Application Data\Microsoft\Installer\{C920EFB6-59DB-472D-B445-21821477AD17}\UNINST_Uninstall_Tru_C920EFB659DB472DB44521821477AD17.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Adrien\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Adrien\Bureau\en cours\7-1_xp_dd_40211.exe
c:\Documents and Settings\Adrien\Bureau\en cours\BF2_Patch_1.41.exe
c:\Documents and Settings\Adrien\Bureau\en cours\a sauvegarder + images numérique\copytodvd keygen.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Crack\Warcraft III 3 KeyGen.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Crack\warcraft_3_reign_of_chaos_patch_v1.20e_anglais_21094.exe
c:\Documents and Settings\Adrien\Bureau\en cours\limewire\LimeWireWin4.12.4.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Nero Vision Express 3.0.1.4 Fr\Fr.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Nero Vision Express 3.0.1.4 Fr\Modèles menus DVD.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Nero Vision Express 3.0.1.4 Fr\nerovision-express_nerovision_express_3.1.0.25_anglais_10914.exe
c:\Documents and Settings\Adrien\Bureau\en cours\Nero Vision Express 3.0.1.4 Fr\Setup.exe
c:\Documents and Settings\Adrien\Bureau\Jeux\DivXInstaller.exe
c:\Documents and Settings\Adrien\Bureau\Jeux\sauvegarde swat .exe
c:\Documents and Settings\Adrien\Bureau\Jeux\sauvegarde swat .exe\Swat4.exe
c:\Documents and Settings\Adrien\Bureau\Jeux\sauvegarde swat .exe\Swat4X.exe
c:\Documents and Settings\Adrien\Bureau\Jeux\tune up\TU2007TrialFR.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\autorun.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\runtime.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\setup.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\ComTest.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\EasyDriver2007.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\FSAdressen.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\MINI_Roundabout_Game.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\Nothilfe20.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\$DISK1\UNINSTAL.EXE
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\MS-ComponentChecker\CC.exe
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\NT\MDAC\MDAC_TYP_FR.EXE
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\NT\MDAC\MDAC_TYP_IT.EXE
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\NT\MDAC\MDAC_TYP-GB.EXE
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\NT\MDAC\MDAC_TYP-GR.EXE
c:\Documents and Settings\Adrien\Bureau\Programme\Easy drivers\NT\ServicePack6\sp6ai386.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\Install_Messenger.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER4B263CFC.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER4FF84A02.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER5CCA4E28.EXE
c:\Documents and Settings\Adrien\Local Settings\Temp\NER704306C8.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER800304C1.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER85814D11.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NER8C5A262D.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERB55E4FED.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERD09707D8.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERE0567807.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERE5E44D49.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NEREB6F0537.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERF13B12C1.exe
c:\Documents and Settings\Adrien\Local Settings\Temp\NERFE0C718C.EXE
c:\Documents and Settings\Adrien\Local Settings\Temp\war3_Install.exe
c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\QuickTime 7.1.3.100\QuickTimeInstallerAdmin.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 7.0.0.125\French\setup.exe
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\IDEUtil\SISIDE.exe
c:\Documents and Settings\Adrien\Application Data\Macromedia\Dreamweaver 8\Configuration\Flash Player\FlashPlayerW.dll
c:\Documents and Settings\Adrien\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Adrien\Application Data\Mozilla\Firefox\Profiles\x9n9xod4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Adrien\Application Data\Mozilla\Firefox\Profiles\x9n9xod4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp


Merci d'avance à tous

Ok, c'est bien ça. Dans un premier temps, tente manuellement la procédure donnée par Dell au post n° 2.

Par ailleurs, ce type de saletés s'attrape par des cracks, et le p2p, je vois eMule qui s'amuse, ça ne m'étonne donc pas du tout.

hello,
j'ai suivi la procédure. Avec hijackthis, je ne trouve pas de fichier de type O17 - HKLM\System\CCS\Services\Tcpip\..\{14AFD67D-EAA0-4F1C-9E2F-BD4D70C98EF5}: NameServer = 85.255.113.206,85.255.112.76

Que doi-je faire ?

Ce sont de mauvais DNS, hijackthis ne les a pas listés dans ton log, donc oublie cette partie, tu n'as pas eu droit à cette saleté là.

Si tu as terminé la procédure, reposte un log hijackthis "frais" pour vérification (et 2-3 choses à préciser).
As-tu encore des symptômes anormaux ?

Falkra a écrit:Par ailleurs, ce type de saletés s'attrape par des cracks, et le p2p, je vois eMule qui s'amuse, ça ne m'étonne donc pas du tout.

emule et limewire sur la même machine... ce sont de véritables "nids à virus" et autre saletés...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:06, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\Mozzilla firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Adrien\LOCALS~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\windows\mxduo.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'tinypgsvc')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NeroScoutOptions.exe (User 'tinypgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\windows\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\windows\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O21 - SSODL: wmpdev - {FE1B3BE1-EA6A-4C31-A339-F679AE81D61B} - C:\windows\wmpdev.dll
O21 - SSODL: wmphost - {18F9FFF6-0C95-4F83-A2AD-1FDB79783114} - C:\windows\wmphost.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4Tiny ERP Demo\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6686 bytes

Ce que j'ai attrapé , ce spyware en pire, je pense pas que cela vienne d'internet. j'ai des amis qui ne savent pas ce que p2p signifie et ils ont attrapé exactement la meme saleté. Quoi qu il en soit, je fais toujours très attention avec emule et je ne télécharge que les fichiers à moindre risque.
a+

Re. Il reste des saletés là dedans.

* Télécharge SmitFraudFix de S!Ri et dézippe toute l'archive sur le bureau.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

* Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
* Double-clique sur smitfraudfix.cmd
* Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport sur le forum dans ta prochaine réponse.

Si process.exe est détecté par ton antivirus ou un autre logiciel, n'en tiens pas compte et ne bloque pas le fichier, il sert à terminer des processus, d'où l'alerte émise par ces antivirus qui y voientun danger potentiel.
(doc).

Bonjour,

Voila le rapport:

SmitFraudFix v2.221

Rapport fait à 13:04:02.60, 08.09.2007
Executé à partir de C:\Documents and Settings\Adrien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\Ati2evxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\windows\system32\ctfmon.exe
D:\Program Files\eMule\emule.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\System32\svchost.exe
D:\Program Files\Mozzilla firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\windows\explorer.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows

C:\windows\mxduo.dll PRESENT !
C:\windows\privacy_danger PRESENT !
C:\windows\wmpdev.dll PRESENT !
C:\windows\wmphost.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Adrien


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Adrien\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Adrien\Favoris

C:\DOCUME~1\Adrien\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\Adrien\Favoris\Privacy Protector.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\Adrien\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\Adrien\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\Adrien\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\windows\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci, on passe au nettoyage (désolé pour le délai, j'ai été un peu pris)

* Redémarre en mode Sans Échec :
au redémarrage, presse immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec la touche Entrée. Choisis ton compte habituel, pas Administrateur.
* Double-clique sur smitfraudfix.cmd
* Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection.
* Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées.
* Le fond d'écran peut être supprimé.

* Poste le rapport sur le forum dans ta prochaine réponse.

hello,
ca va beacoup mieux !
voila les 2 logs

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:09, on 09.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\windows\system32\ctfmon.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Mozzilla firefox\firefox.exe
C:\windows\system32\cmd.exe
C:\Program Files\WinRAR\WinRAR.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\windows\notepad.exe
C:\DOCUME~1\Adrien\LOCALS~1\Temp\Rar$EX03.484\HijackThis.exe
C:\windows\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'tinypgsvc')
O4 - HKUS\S-1-5-21-2000478354-329068152-682003330-1006\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NeroScoutOptions.exe (User 'tinypgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\windows\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\windows\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4Tiny ERP Demo\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6317 bytes

et le 2 ème

SmitFraudFix v2.221

Rapport fait à 11:42:51.90, 09.09.2007
Executé à partir de C:\Documents and Settings\Adrien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\windows\system32\ctfmon.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Mozzilla firefox\firefox.exe
C:\windows\system32\cmd.exe
C:\Program Files\WinRAR\WinRAR.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\windows\notepad.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Adrien


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Adrien\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Adrien\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AA2A64DE-9958-4A51-A03A-C22A5210F56C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci d'avance à toi

Bonjour, oui c'est plus propre (je m'étonne que dans le log smitfraudfix il n'y ait pas mention de ce qui est supprimé, mais cela semble clean).

A priori sauf symptômes anormaux, c'est réglé.

Maintenant, si tu veux éviter que cela revienne, quelques conseils :
Prévention : éviter les infections où tu trouveras pourquoi eMule (ou plutôt l'usage qu'on peut en faire) est à éviter.
Et Avast, qui d'un point de vue réactivité est à la traine depuis quelque temps, nous conseillons (sans obliger) Antivir : http://www.libellules.ch/tuto_antivir.php (explications).

Et si tu es un optimiseur, tu pourras te débarrasser de CTfmon comme ceci :
http://www.libellules.ch/dotclear/index.php?2007/08/28/2102-empcher-le-retour-de-ctfmonexe-au-dmarrage mais là on entre dans l'optimisation, ce n'est plus de la désinfection.

Ce sont des conseils, pas des obligations, évidemment.

Hello,
le problème est maintenant résolu. Merci à tous.