Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Avast et Trojan SPY.Banker.Gen

Dernière réponse le 31 oct 2007 à 10:45:54 dimi3, le 29 oct 2007 à 07:40:46

Signaler ce message aux modérateurs

Bonjour,
Mon antivirus Avast a découvert le trojan SPY.Banker.Gen sur ma machine.
J'ai cliqué sur "Delete".
Maintenant, chaque fois que je passe cet antivirus, il détecte un fichier situé dans Windows\Temp\_avast4_\ contenant ce cheval de Troie que je croyais pourtant éradiqué. Voici ce qu'affiche la fenêtre d'Avast lorsqu'il repère ce fichier :

c:\windows\temp\_avast4_\unp32778309.tmp
Is the Trojan horse
TR\SPY.Banker.Gen

Je clique à chaque fois sur "Delete". Le fichier disparaît bien, je le vérifie. Et il réapparaît au passage suivant de l'antivirus. Est-ce Avast qui le crée ? Dans quel but ? Comment faire pour faire cesser cela ?

D'autre part, que fait exactement ce cheval de Troie lorsqu'il s'exécute ?

Je vous remercie de vos lumières.

Configuration: Windows XP
Internet Explorer 7.0

Meilleures réponses pour « Avast et Trojan SPY.Banker.Gen » dans :

Trojan spy banker qu'est ce que je fais? (Résolu) Voir

Trojan.Spy.Banker.EM URGENT DE M AIDER SVP (Résolu) Voir

Tr/spy.banker.gen Voir

Alerte Virus: Trojan.Spy.ZBot.EJ Voir

Le trojan TR/Dropper.Gen dans Ocaml ?? Voir

Virus trojan.win32\Vundo.gen!D Voir

Posez votre question Répondre

FillPCA, le 29 oct 2007 à 09:24:42

Bonjour,

Ce type d'infections est spécialisée dans le vol d'informations bancaires. Ce qu'Avast détecte n'est sans doute qu'un dropper mais l'infection doit être logée ailleurs. Evite toute transaction ou toute consultation de compte bancaire.

Peux-tu éditer un rapport Hijackthis ?

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse.

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 10:49:24

Merci beaucoup pour votre réponse.
Ce virus peut relever quoi lorsque je me connecte à mes compres bancaires ?
Qu'est-ce qu'un dropper ?
Voici ce que vous avez demandé, :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:43:19, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\systeme\Folder Lockbox\flockbox.exe
C:\systeme\FSL_Launcher\FSL_Launcher.exe
C:\systeme\ZoneAlarm\zlclient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Mails\ePrompter\ePrompter.exe
C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
C:\systeme\yankeeClipper\YankClip.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\systeme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/internet/accueilinternet/accueil.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [flockbox] C:\systeme\Folder Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [FSL Launcher] C:\systeme\FSL_Launcher\FSL_Launcher.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\systeme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\musique\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ub4TrayApp] "C:\GestionFichiers\UltraBackup\bin\ubtray.exe" /start
O4 - HKCU\..\Run: [Konni Symbol Autostart] c:\edition\ragtime\Konni\KonniSymbol.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ePrompter.lnk = C:\Mails\ePrompter\ePrompter.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: raccourcis_Klendrier.exe.lnk = C:\utilitaires\Klendrier\Klendrier.exe
O4 - Startup: YankClip.lnk = C:\systeme\yankeeClipper\YankClip.exe
O4 - Startup: zonealarm.lnk = C:\systeme\ZoneAlarm\zonealarm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2322C87F-1DAC-4784-9967-692954322861}: NameServer = 86.64.145.148 84.103.237.148
O17 - HKLM\System\CS1\Services\Tcpip\..\{2322C87F-1DAC-4784-9967-692954322861}: NameServer = 86.64.145.148 84.103.237.148
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
End of file - 8215 bytes

Répondre à dimi3

FillPCA, le 29 oct 2007 à 10:58:03

Re,

Je ne connais pas précisément cette variante-là, mais il peuvent dérober idnetifiants, mots de passes, numéros de cartes etc...

1/ Désinstalle AVast puisque tu possèdes Antivir. Deux antivirus peuvent créer des conflits.

2/ Redémarre le PC.

3/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
* Cliquer sur outils>options des dossiers>affichage.
* Sélectionner :
o afficher les fichiers et dossiers cachés,
o décocher "masquer les extensions des fichiers dont le type est connu",
o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

* "appliquer" et "ok"

4/ * Peux-tu tester ceci :
C:\systeme\Folder Lockbox\flockbox.exe
C:\systeme\FSL_Launcher\FSL_Launcher.exe
C:\GestionFichiers\UltraBackup\bin\ubtray.exe

* Clique sur ce lien : http://www.virustotal.com/en/indexf.html
* Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
* Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.

5/ Poste les trois rapports virustotal.

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 12:18:00

Voici les rapports :

-------------------- 1 ----------------------------
Fichier flockbox.exe reçu le 2007.10.29 11:34:32 (CET)
Résultat: 1/31 (3.23%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.27.0 2007.10.29 -
AntiVir 7.6.0.30 2007.10.29 -
Authentium 4.93.8 2007.10.28 -
Avast 4.7.1074.0 2007.10.28 -
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.29 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.29 -
DrWeb 4.44.0.09170 2007.10.29 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5250 2007.10.29 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.29 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.29 -
Ikarus T3.1.1.12 2007.10.29 -
Kaspersky 7.0.0.125 2007.10.29 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.29 -
NOD32v2 2622 2007.10.28 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.28 -
Prevx1 V2 2007.10.29 -
Rising 19.47.01.00 2007.10.29 -
Sophos 4.23.0 2007.10.29 -
Sunbelt 2.2.907.0 2007.10.27 VIPRE.Suspicious
Symantec 10 2007.10.29 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.28 -
Information additionnelle
File size: 1073152 bytes
MD5: b0798ce675d7e5dd735ed43bccdfdea0
SHA1: d0358e6fe7006351407f066c9b8dfcd2f283648c
packers: Aspack
packers: PE_Patch
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

-------------------2--------------------

Fichier FSL_Launcher.exe reçu le 2007.10.29 11:48:04 (CET)
Résultat: 2/32 (6.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.27.0 2007.10.29 -
AntiVir 7.6.0.30 2007.10.29 -
Authentium 4.93.8 2007.10.28 -
Avast 4.7.1074.0 2007.10.28 -
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.29 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.29 -
DrWeb 4.44.0.09170 2007.10.29 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5250 2007.10.29 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.29 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.29 -
Ikarus T3.1.1.12 2007.10.29 -
Kaspersky 7.0.0.125 2007.10.29 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.29 -
NOD32v2 2622 2007.10.28 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.28 -
Prevx1 V2 2007.10.29 -
Rising 19.47.02.00 2007.10.29 -
Sophos 4.23.0 2007.10.29 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.29 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.28 -
Webwasher-Gateway 6.6.1 2007.10.29 Worm.Win32.Malware.gen (suspicious)
Information additionnelle
File size: 661504 bytes
MD5: 37336e2b6aaa0be55a018a482f89dea8
SHA1: 61f8ff0865c9af73c903baa8060167ec6e46f4da
packers: UPX
packers: UPX
packers: PE_Patch, UPX

---------------3--------------------
Fichier ubTray.exe reçu le 2007.10.29 12:02:23 (CET)
Résultat: 2/32 (6.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.27.0 2007.10.29 -
AntiVir 7.6.0.30 2007.10.29 HEUR/Malware
Authentium 4.93.8 2007.10.28 -
Avast 4.7.1074.0 2007.10.28 -
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.29 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.29 -
DrWeb 4.44.0.09170 2007.10.29 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5250 2007.10.29 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.29 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.29 -
Ikarus T3.1.1.12 2007.10.29 -
Kaspersky 7.0.0.125 2007.10.29 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.29 -
NOD32v2 2622 2007.10.28 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.28 -
Prevx1 V2 2007.10.29 -
Rising 19.47.02.00 2007.10.29 -
Sophos 4.23.0 2007.10.29 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.29 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.28 -
Webwasher-Gateway 6.6.1 2007.10.29 Heuristic.Malware
Information additionnelle
File size: 1381376 bytes
MD5: c8de94120848b8b7dff7a0f587dff217
SHA1: c0dcfe9deed77aa943516c46076f03a274bdccfc

----------------

Merci pour votre temps et votre patience.

Répondre à dimi3

FillPCA, le 29 oct 2007 à 13:11:50

Re,

1/ * Imprime ceci.
* Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
* Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
* Ouvre le bloc-note de windows.
* Copie-colle ces lignes dans la fenêtre du bloc-note :

OptionUnloadShell

Processkill \flockbox.exe|1
Processkill \folderlockbox.exe|1
Processkill \unins000.exe|1
Processkill \folderlockbox_setup.exe|1
Processkill \FSL_Launcher.exe|1

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|flockbox
RegDeleteKey HKCR\clsid\{1627e1fe-69fa-4943-9d87-2a40de9075bf}
RegDeleteKey HKCR\flockbox.dochostuihandler
RegDeleteKey HKCU\software\fspro labs\folder lockbox
RegDeleteKey HKLM\software\microsoft\windows\currentversion\uninstall\folder lockbox_is1
RegDeleteKey HKLM\software\microsoft\windows\currentversion\uninstall\my lockbox_is1
RegDeleteKey HKLM\system\currentcontrolset\enum\root\legacy_mprifl
RegDeleteKey HKLM\system\currentcontrolset\services\mprifl
RegDeleteKey HKLM\software\microsoft\windows\currentversion\run flockbox
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|FSL Launcher

FolderDelete %PROGRAMFILES%\folder lockbox
FolderDelete %PROGRAMFILES%\my lockbox
FolderDelete %PROGRAMFILES%\xerox
FileDelete %SYSDIR%\Drivers\mprifl.sys
FolderDelete C:\systeme\folder lockbox
FolderDelete C:\systeme\my lockbox
FolderDelete C:\systeme\xerox
FileDelete %DESKTOP%\my lockbox.lnk
FileDelete C:\systeme\FSL_Launcher

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin

* Enregistre le fichier sur le bureau en fix.txt
* Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
* Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
* Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
* Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
* Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
* Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
* Clique sur Execute et laisse-le faire son travail.
* Attendre que Complete script execution apparaîsse et clique sur OK.
* Clique Exit pour fermer le programme BFU.
* Redémarre normalement ton PC.

2/ Télécharge Ccleaner Basic http://www.ccleaner.com/download/builds

Ouvre Ccleaner, clique sur "lancer le nettoyage".

3/ Télécharge AVGantispyware : http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

4/ Edite le rapport AVGantispyware et un nouveau rapport Hijackthis.

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 15:17:18

Voici les 2 rapports :

---------------- 1 ------------------

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:07:29 29/10/2007

+ Résultat de l'analyse:

C:\Program Files\NavExcel\NavHelper\v2.0.4a\v2.0.4a.cab/NHUninstaller.exe -> Adware.NavExcel : Nettoyé.
C:\Program Files\NavExcel\NavHelper\v2.0.4a\v2.0.4a.cab/NHUpdater.exe -> Adware.NavExcel : Nettoyé.
C:\Program Files\NavExcel\NavHelper\v2.0.4a\v2.0.4a.cab/NHelper.dll -> Adware.NavExcel : Nettoyé.
C:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP63\A0020009.exe -> Adware.NavExcel : Nettoyé.
C:\Program Files\whInstall -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\Sporder.dll -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\license.txt -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\readme.txt -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\whAgent.inf -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\whAgent.ini -> Adware.Webhancer : Nettoyé.
C:\Program Files\whInstall\whInstaller.ini -> Adware.Webhancer : Nettoyé.
E:\javascript\A28\A27\FreeDial_Setup.exe -> Dialer.Generic : Nettoyé.
C:\Documents and Settings\Guy\Cookies\guy@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
E:\Corel\Fichiers\C\Mail\AIM5\icbmft.ocm -> Worm.AimVen : Nettoyé.

Fin du rapport

------------------- 2 ----------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:10, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\systeme\ZoneAlarm\zlclient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\musique\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\GestionFichiers\UltraBackup\bin\ubtray.exe
C:\edition\ragtime\Konni\KonniSymbol.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Mails\ePrompter\ePrompter.exe
C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
C:\systeme\yankeeClipper\YankClip.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\systeme\AVG Anti-Spyware 7.5\guard.exe
C:\systeme\AVG Anti-Spyware 7.5\avgas.exe
C:\systeme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\systeme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\musique\Winamp\winampa.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\systeme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ub4TrayApp] "C:\GestionFichiers\UltraBackup\bin\ubtray.exe" /start
O4 - HKCU\..\Run: [Konni Symbol Autostart] c:\edition\ragtime\Konni\KonniSymbol.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ePrompter.lnk = C:\Mails\ePrompter\ePrompter.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: raccourcis_Klendrier.exe.lnk = C:\utilitaires\Klendrier\Klendrier.exe
O4 - Startup: YankClip.lnk = C:\systeme\yankeeClipper\YankClip.exe
O4 - Startup: zonealarm.lnk = C:\systeme\ZoneAlarm\zonealarm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2322C87F-1DAC-4784-9967-692954322861}: NameServer = 84.103.237.142 86.64.145.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{2322C87F-1DAC-4784-9967-692954322861}: NameServer = 84.103.237.142 86.64.145.142
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\systeme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
End of file - 8384 bytes

--------------

Merci encore pour tout le travail que je vous donne

Répondre à dimi3

FillPCA, le 29 oct 2007 à 15:21:34

Re,

* Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 16:11:14

MON ANTIVIRUS A TROUVé PENDANT LE SCAN TR/Hijack.Agent.AC dans c:\Documents and sittings\...\Local Settings\temp\qdspgadmy.dll

---------- Voici le rapport :

Search Navipromo version 3.3.2 commencé le 29/10/2007 à 16:02:01,71

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Guy\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\GUY\LOCALS~1\APPLIC~1

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\GUY\LOCALS~1\APPLIC~1 *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse terminée le 29/10/2007 à 16:04:35,28 ***

Répondre à dimi3

FillPCA, le 29 oct 2007 à 16:17:43

Re,

OK. Compte-tenu du type d'infection, on creuse.

Tu as toujours Avast et Antivir. C'est dangereux. Vire Avast et garde antivir, puis redémarre le PC.

1/ Télécharge Ccleaner Basic http://www.ccleaner.com/download/builds

Ouvre Ccleaner, clique sur "lancer le nettoyage".

2/ Télécharge AVGantispyware : http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

3/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) : http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

4/ * Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
* Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
* Ouvre le dossier SReng2 et double-clique sur SREng.exe.
* Clique sur "smart scan".
* Clique sur le bouton "scan".
* Quand l'analyse est terminée, clique sur le bouton "save reports".
* Sauvegarde alors le rapport sur ton bureau.
* Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

Edite ces différents rapports (AVGantispyware, Diaghelp et SREng).

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 19:17:41

Comme c'est compliqué d'éradiquer un virus ! Je pensais que l'antivirus était capable de le détruire lorsqu'on cliquait sur le bouton "Delete" !

Dans le rapport 2 (DiagHekp) , il est indiqué l'existence du programme "Alarme", or c'est dans celui-ci que l'antivirus a détecté le cheval de Troie et que l'antivirus était sensé effacer !!! (J'ai mis le nom du programme en gras).

Voici les 3 rapports :

------------- 1 ----------------
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:47:48 29/10/2007

+ Résultat de l'analyse:

C:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP97\A0024657.inf -> Adware.WebHancer : Nettoyé et sauvegardé (mise en quarantaine).
E:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP97\A0024654.exe -> Dialer.Generic : Nettoyé et sauvegardé (mise en quarantaine).
E:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP97\A0024655.ocm -> Worm.AimVen : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

-------------- 2 ------------------

DiagHelp version v1.3 - http://www.malekal.com
excute le 29/10/2007 à 18:10:48,71

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->29/10/2007 18:10:46
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->29/10/2007 18:10:13
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->29/10/2007 18:10:04
C:\WINDOWS\prefetch\GZIP.EXE-0CAA91CC.pf -->29/10/2007 18:10:02
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->29/10/2007 18:09:54
C:\WINDOWS\prefetch\REG.EXE-0D2A95F7.pf -->29/10/2007 18:09:25
C:\WINDOWS\prefetch\KPROCCHECK.EXE-04C3FC73.pf -->29/10/2007 18:09:24
C:\WINDOWS\prefetch\CATCHME.EXE-0E94C23F.pf -->29/10/2007 18:09:24
C:\WINDOWS\prefetch\DUMPHIVE.EXE-05462DAC.pf -->29/10/2007 18:09:22
C:\WINDOWS\prefetch\SWREG.EXE-00FF8289.pf -->29/10/2007 18:08:59

C:\WINDOWS\System32\drivers\avipbb.sys -->10/10/2007 18:38:40
C:\WINDOWS\System32\drivers\AvgAsCln.sys -->30/05/2007 13:10:42
C:\WINDOWS\System32\drivers\ssmdrv.sys -->01/03/2007 09:34:36
C:\WINDOWS\System32\drivers\avgntdd.sys -->27/02/2007 14:18:30
C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 12:10:35
C:\WINDOWS\System32\drivers\adidsl.cfg -->20/01/2007 18:11:49
C:\WINDOWS\System32\drivers\avgntmgr.sys -->22/11/2006 13:30:31

C:\WINDOWS\System32\wpa.dbl -->29/10/2007 16:30:08
C:\WINDOWS\System32\vsconfig.xml -->29/10/2007 16:29:51
C:\WINDOWS\System32\nvapps.xml -->29/10/2007 16:29:10
C:\WINDOWS\System32\CONFIG.NT -->29/10/2007 16:27:13
C:\WINDOWS\System32\sun_debug1.txt -->29/10/2007 08:54:05
C:\WINDOWS\System32\sun_debug.txt -->29/10/2007 08:54:05
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 05:08:56
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 05:08:56
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 05:08:56
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 05:08:55
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 05:08:55
C:\WINDOWS\System32\FNTCACHE.DAT -->23/10/2007 05:13:26
C:\WINDOWS\System32\MRT.exe -->28/09/2007 06:19:39
C:\WINDOWS\System32\ActualEarth.scr -->17/09/2007 18:28:39
C:\WINDOWS\System32\TZLog.log -->29/08/2007 12:52:56
C:\WINDOWS\System32\nscompat.tlb -->22/08/2007 16:40:00
C:\WINDOWS\System32\amcompat.tlb -->22/08/2007 16:40:00
C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 07:17:23
C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\webcheck.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\urlmon.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\url.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\occache.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\mstime.dll -->20/08/2007 10:59:30
C:\WINDOWS\System32\msrating.dll -->20/08/2007 10:59:30

C:\WINDOWS\ePrompter.ini -->29/10/2007 18:06:30
C:\WINDOWS\WindowsUpdate.log -->29/10/2007 16:32:56
C:\WINDOWS\wiadebug.log -->29/10/2007 16:29:07
C:\WINDOWS\wiaservc.log -->29/10/2007 16:29:06
C:\WINDOWS\bootstat.dat -->29/10/2007 16:28:51
C:\WINDOWS\SchedLgU.Txt -->29/10/2007 16:28:03
C:\WINDOWS\win.ini -->24/10/2007 15:13:28
C:\WINDOWS\PDOXWIN.INI -->24/10/2007 15:13:28
C:\WINDOWS\ST5UNST.001 -->06/10/2007 18:14:57
C:\WINDOWS\ST5UNST.000 -->06/10/2007 18:13:47
C:\WINDOWS\tbub.ini -->06/10/2007 10:13:23
C:\WINDOWS\tefview.ini -->03/10/2007 08:37:37
C:\WINDOWS\NeroDigital.ini -->17/09/2007 19:17:29
C:\WINDOWS\PFPJOBPR.{PB -->14/09/2007 05:53:44
C:\WINDOWS\CvXpress.ini -->11/09/2007 19:51:37

MD5 des fichiers sensibles
tcpip.sys 1dbf125862891817f374f407626967f4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 2979b03d5382a602623c0535b16ab9c0

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1796
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xcf000 7.00.6000.16544 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16544 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cb000 7.00.6000.16544 C:\WINDOWS\system32\ieframe.dll
0x442b0000 0x3c000 7.00.6000.16544 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x44160000 0x124000 7.00.6000.16544 C:\WINDOWS\system32\urlmon.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x01930000 0x16f000 6.14.0010.11019 C:\WINDOWS\system32\nview.dll
0x01b60000 0x50000 6.14.0010.11019 C:\WINDOWS\system32\NVWRSFR.DLL
0x10000000 0xe000 7.00.0007.0142 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x02d60000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x325c0000 0x12000 11.00.5510.0000 C:\GESTIO~1\WORDVI~1\OFFICE11\msohev.dll
0x02e20000 0x15000 6.14.0010.8205 C:\WINDOWS\system32\nvwddi.dll
0x03080000 0x21000 1.03.0000.0005 C:\graphisme\PhotoRedukto\PhotoReduced.dll
0x030b0000 0x39000 C:\graphisme\PhotoRedukto\AutouiDll.dll
0x02f30000 0x20000 C:\graphisme\PhotoRedukto\Tools.dll
0x030f0000 0xce000 5.09.0009.0003 C:\graphisme\PhotoRedukto\cximagecrt.dll
0x031c0000 0x13000 C:\graphisme\PhotoRedukto\AboutBox.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x038b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x04040000 0x70a000 6.14.0010.8205 C:\WINDOWS\system32\nvcpl.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x00d00000 0x44000 6.14.0010.8205 C:\WINDOWS\system32\NVRSFR.DLL
0x02be0000 0x73000 6.14.0010.11019 C:\WINDOWS\system32\nvshell.dll
0x01180000 0x13000 7.05.0001.0036 C:\systeme\AVG Anti-Spyware 7.5\shellexecutehook.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 680
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01200000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est EC6D-5257

Répertoire de C:\WINDOWS\system32

02/03/2006 13:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 186 877 231 104 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est EC6D-5257

Répertoire de C:\WINDOWS\Downloaded Program Files

04/07/2007 15:29 <REP> .
04/07/2007 15:29 <REP> ..
19/01/2007 11:38 65 desktop.ini
22/02/2007 22:41 304 544 MessengerStatsPAClient.dll
04/12/2006 15:16 144 QTPlugin.inf
09/11/2006 14:36 5 019 swflash.inf
4 fichier(s) 309 772 octets

Total des fichiers listés :
4 fichier(s) 309 772 octets
2 Rép(s) 186 877 231 104 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\WINSOS\\winsos.exe"="C:\\Program Files\\WINSOS\\winsos.exe:*:Enabled:Winsos"
"C:\\Program Files\\WINSOS\\anti-spy.exe"="C:\\Program Files\\WINSOS\\anti-spy.exe:*:Enabled:anti-spy Winsos"
"C:\\Program Files\\WINSOS\\help.exe"="C:\\Program Files\\WINSOS\\help.exe:*:Enabled:Winsos Help"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
160 - svchost.exe
380 - SMax4.exe
532 - rundll32.exe
548 - smax4pnp.exe
624 - rundll32.exe
636 - itype.exe
640 - ipoint.exe
652 - csrss.exe
660 - zlclient.exe
680 - winlogon.exe
724 - services.exe
736 - lsass.exe
740 - avgnt.exe
784 - avgas.exe
836 - winampa.exe
888 - svchost.exe
920 - ctfmon.exe
940 - svchost.exe
976 - svchost.exe
1020 - ubTray.exe
1048 - KonniSymbol.exe
1092 - dslmon.exe
1136 - PFPPOP70.EXE
1148 - svchost.exe
1160 - vsmon.exe
1436 - avguard.exe
1680 - soffice.bin
1796 - explorer.exe
1880 - sched.exe
1892 - guard.exe
2568 - alg.exe
3432 - cmd.exe
3804 - iexplore.exe

Total number of processes = 36
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
F79C0000 - \WINDOWS\system32\KDCOM.DLL
F78D0000 - \WINDOWS\system32\BOOTVID.dll
F7390000 - ACPI.sys
F79C2000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F737F000 - pci.sys
F74C0000 - isapnp.sys
F74D0000 - ohci1394.sys
F74E0000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F7A88000 - pciide.sys
F7740000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F74F0000 - MountMgr.sys
F7360000 - ftdisk.sys
F7748000 - PartMgr.sys
F7500000 - VolSnap.sys
F7348000 - atapi.sys
F7510000 - disk.sys
F7520000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7328000 - fltMgr.sys
F7316000 - sr.sys
F7530000 - PxHelp20.sys
F72FF000 - KSecDD.sys
F7272000 - Ntfs.sys
F7245000 - NDIS.sys
F7231000 - srescan.sys
F7216000 - Mup.sys
F7730000 - \SystemRoot\system32\DRIVERS\AmdK8.sys
F66F7000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F66E3000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F77F8000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F66C0000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7800000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F7560000 - \SystemRoot\system32\DRIVERS\imapi.sys
F6AE7000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F6AD7000 - \SystemRoot\system32\DRIVERS\redbook.sys
F669D000 - \SystemRoot\system32\DRIVERS\ks.sys
F6AC7000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F6678000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F7998000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
F662D000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
F65F6000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
F79D0000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
F7808000 - \SystemRoot\system32\DRIVERS\fdc.sys
F65E5000 - \SystemRoot\system32\DRIVERS\serial.sys
F79A0000 - \SystemRoot\system32\DRIVERS\serenum.sys
F65D1000 - \SystemRoot\system32\DRIVERS\parport.sys
F6AB7000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F7810000 - \SystemRoot\system32\DRIVERS\point32.sys
F7818000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7820000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7ACE000 - \SystemRoot\system32\DRIVERS\audstub.sys
F6AA7000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F79A4000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F6592000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F6A97000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F6A87000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F7828000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F6581000 - \SystemRoot\system32\DRIVERS\psched.sys
F6A77000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F7830000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F7838000 - \SystemRoot\system32\DRIVERS\raspti.sys
F6A67000 - \SystemRoot\system32\DRIVERS\termdd.sys
F79D4000 - \SystemRoot\system32\DRIVERS\swenum.sys
F654D000 - \SystemRoot\system32\DRIVERS\update.sys
F79B8000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F6A57000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7570000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F79DA000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F3F74000 - \SystemRoot\system32\drivers\ADIHdAud.sys
F3F50000 - \SystemRoot\system32\drivers\portcls.sys
F7580000 - \SystemRoot\system32\drivers\drmk.sys
F3F30000 - \SystemRoot\system32\drivers\AEAudio.sys
F3ED0000 - \SystemRoot\system32\drivers\Senfilt.sys
F7590000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
F7858000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F79DE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7ADC000 - \SystemRoot\System32\Drivers\Null.SYS
F79E0000 - \SystemRoot\System32\Drivers\Beep.SYS
F7B29000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F7868000 - \SystemRoot\System32\drivers\vga.sys
F79E2000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79E4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7870000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7878000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7950000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F3E75000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F3E1D000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F3DF5000 - \SystemRoot\system32\DRIVERS\netbt.sys
F3D96000 - \SystemRoot\System32\vsdatant.sys
F3D74000 - \SystemRoot\System32\drivers\afd.sys
F75B0000 - \SystemRoot\system32\DRIVERS\netbios.sys
F7880000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
F3D49000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F3CDA000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F75D0000 - \SystemRoot\System32\Drivers\Fips.SYS
F3CB9000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F75E0000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F75F0000 - \SystemRoot\system32\DRIVERS\arp1394.sys
F7600000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F79E6000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys
F7B60000 - \??\C:\systeme\AVG Anti-Spyware 7.5\guard.sys
F3B61000 - \SystemRoot\system32\DRIVERS\LV532AV.SYS
F7630000 - \SystemRoot\system32\DRIVERS\STREAM.SYS
F7980000 - \SystemRoot\system32\DRIVERS\usbscan.sys
F3B43000 - \SystemRoot\system32\DRIVERS\adiusbaw.sys
F7890000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F7898000 - \SystemRoot\System32\Drivers\ALABULK2.sys
F7670000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F3B2B000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79F8000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F65A9000 - \SystemRoot\System32\drivers\Dxapi.sys
F78B0000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7AE8000 - \SystemRoot\System32\drivers\dxgthk.sys
F3B08000 - \SystemRoot\System32\Drivers\Fastfat.SYS
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
BAD00000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
BA1C3000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BA0E8000 - \??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys
BA083000 - \SystemRoot\system32\drivers\wdmaud.sys
F7650000 - \SystemRoot\system32\drivers\sysaudio.sys
F7A00000 - \SystemRoot\System32\Drivers\ParVdm.SYS
B9D3F000 - \SystemRoot\system32\DRIVERS\srv.sys
B9730000 - \SystemRoot\System32\Drivers\HTTP.sys
B7A15000 - \SystemRoot\system32\drivers\kmixer.sys
F7BAC000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 128

Liste des programmes installes

Alarme 2.2
AVG Anti-Spyware 7.5
Avira AntiVir PersonalEdition Classic
Backup
CCleaner (remove only)
Correctif pour Windows XP (KB914440)
Correctif pour Windows XP (KB928388)
Correctif pour Windows XP (KB929120)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
J2SE Runtime Environment 5.0 Update 10
Media Player Classic fr
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft IntelliPoint 5.5
Microsoft IntelliType Pro 5.5
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Word Viewer 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931768)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB904942)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911164)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920342)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Moffsoft FreeCalc
MSN
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est EC6D-5257

Répertoire de C:\Program Files

29/10/2007 16:00 <REP> .
29/10/2007 16:00 <REP> ..
19/01/2007 12:09 <REP> Adobe
19/01/2007 13:51 <REP> Ahead
19/01/2007 12:11 <REP> Alwil Software
19/01/2007 12:05 <REP> AMD
19/01/2007 12:03 <REP> Analog Devices
28/10/2007 20:46 <REP> AntiVir PersonalEdition Classic
06/10/2007 18:17 <REP> Anvil Studio
19/01/2007 11:36 <REP> ComPlus Applications
22/01/2007 18:20 <REP> Fichiers communs
27/01/2007 14:26 <REP> Google
10/10/2007 19:53 <REP> Internet Explorer
19/01/2007 17:42 <REP> Java
20/05/2007 11:52 <REP> mackoy
19/01/2007 12:26 <REP> Media Player Classic
19/01/2007 11:39 <REP> microsoft frontpage
21/01/2007 17:59 <REP> Microsoft IntelliPoint
21/01/2007 17:59 <REP> Microsoft IntelliType Pro
19/01/2007 11:36 <REP> Movie Maker
23/01/2007 20:42 <REP> Mozilla Firefox
01/07/2007 14:34 <REP> MSN
19/01/2007 11:35 <REP> MSN Gaming Zone
11/03/2007 18:36 <REP> NASA
29/09/2007 17:04 <REP> NavExcel
29/10/2007 16:04 <REP> Navilog1
19/01/2007 11:37 <REP> NetMeeting
19/01/2007 11:35 <REP> Online Services
13/06/2007 12:38 <REP> Outlook Express
22/02/2007 18:01 <REP> qt
19/01/2007 12:26 <REP> Satsuki Decoder Pack
19/01/2007 11:38 <REP> Services en ligne
21/03/2007 16:52 <REP> SmartMediaRW
17/09/2007 18:20 <REP> VSO
29/08/2007 16:42 <REP> Windows Live
22/08/2007 16:38 <REP> Windows Media Connect 2
22/08/2007 16:39 <REP> Windows Media Player
19/01/2007 11:35 <REP> Windows NT
29/10/2007 13:34 <REP> xerox
0 fichier(s) 0 octets
43 Rép(s) 186 877 112 320 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est EC6D-5257

Répertoire de C:\Program Files\fichiers communs

22/01/2007 18:20 <REP> .
22/01/2007 18:20 <REP> ..
19/01/2007 12:10 <REP> Adobe
19/01/2007 13:48 <REP> Ahead
31/01/2007 17:14 <REP> InstallShield
19/01/2007 17:41 <REP> Java
19/01/2007 13:51 <REP> LightScribe
26/09/2007 20:32 <REP> Microsoft Shared
19/01/2007 11:36 <REP> MSSoap
19/01/2007 13:49 <REP> Nero
19/01/2007 11:57 <REP> ODBC
19/01/2007 11:37 <REP> Services
19/01/2007 11:57 <REP> SpeechEngines
13/06/2007 12:38 <REP> System
0 fichier(s) 0 octets
14 Rép(s) 186 877 112 320 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est EC6D-5257

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

19/01/2007 11:52 <REP> .
19/01/2007 11:52 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 186 877 112 320 octets libres

c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_16496df1.exe
c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_18be6784.exe
c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_294823.exe
c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_2cd672ae.exe
c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_4ae13d6c.exe
c:\Documents and Settings\Guy\Application Data\Microsoft\Installer\{6B3CA80E-6AC0-4725-BABF-9B0FEF880CB3}\_69525f90.exe
c:\Documents and Settings\Guy\Application Data\MSNInstaller\msnauins.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\epsetup.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\epson4786eu.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\install.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\Install_Messenger.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\unison-2.24.6-win-gtk2.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\WDVIEWER.EXE
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\ZSoft_Uninstaller_2.3.3.exe
c:\Documents and Settings\Guy\Mes documents\Mes fichiers reçus\VB6fr\setup.exe
c:\Documents and Settings\Guy\musique\tabber\Tabber-fr.exe
c:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\avewin32.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp

----------RAPPORT 3 -------------

[CODE]

2007-10-29,18:31:45

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Home Edition Service Pack 2 (Build 2600) - Administrative User - Completed Functions Allowed

Follow item(s) have been choosed:
All Boot Items (Including Registry, Startup Folders, Services and so on)
Browser Add-ons
Runing Processes (Including process model information)
File Associations
Winsock Provider
Autorun.Inf
HOSTS File
Process Privileges Scan

Boot Items
Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<CTFMON.EXE><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
<Ub4TrayApp><"C:\GestionFichiers\UltraBackup\bin\ubtray.exe" /start> [Astase]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<nwiz><nwiz.exe /install> []
<NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [(Verified)Microsoft Windows Publisher]
<High Definition Audio Property Page Shortcut><HDAShCut.exe> [(Verified)Microsoft Windows XP Publisher]
<SoundMAXPnP><C:\Program Files\Analog Devices\Core\smax4pnp.exe> [(Verified)Microsoft Windows Component Publisher]
<SoundMAX><"C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray> [Analog Devices, Inc.]
<NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe> [Ahead Software Gmbh]
<SunJavaUpdateSched><"C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"> [Sun Microsystems, Inc.]
<QuickFinder Scheduler><c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE> [Novell, Inc.]
<itype><"C:\Program Files\Microsoft IntelliType Pro\itype.exe"> [(Verified)Microsoft Corporation]
<IntelliPoint><"C:\Program Files\Microsoft IntelliPoint\ipoint.exe"> [(Verified)Microsoft Corporation]
<ZoneAlarm Client><"C:\systeme\ZoneAlarm\zlclient.exe"> [(Verified)Check Point Software Technologies Ltd.]
<avgnt><"C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min> [Avira GmbH]
<!AVG Anti-Spyware><"C:\systeme\AVG Anti-Spyware 7.5\avgas.exe" /minimized> [(Verified)GRISOFT LTD]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{57B86673-276A-48B2-BAE7-C6DBB3020EB8}><C:\systeme\AVG Anti-Spyware 7.5\shellexecutehook.dll> [(Verified)GRISOFT LTD]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
<IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<Carnet d'adresses 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install> [Microsoft Corporation]
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\system32\AVASTSS.scr> [N/A]

==================================
Startup Folders
[DSLMON]
<C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk --> C:\PROGRA~1\SAGEM\SAGEMF~1\dslmon.exe []><N>
[Lancement rapide d'Adobe Reader]
<C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk --> C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [Adobe Systems Incorporated]><N>

==================================
Services
[AntiVir PersonalEdition Classic Scheduler / AntiVirScheduler][Running/Auto Start]
<"C:\Program Files\AntiVir PersonalEdition Classic\sched.exe"><Avira GmbH>
[AntiVir PersonalEdition Classic Guard / AntiVirService][Running/Auto Start]
<"C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe"><Avira GmbH>
[Gestion d'applications / AppMgmt][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[AVG Anti-Spyware Guard / AVG Anti-Spyware Guard][Running/Auto Start]
<C:\systeme\AVG Anti-Spyware 7.5\guard.exe><GRISOFT s.r.o.>
[Accès du périphérique d'interface utilisateur / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[LightScribeService Direct Disc Labeling Service / LightScribeService][Running/Auto Start]
<"C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe"><Hewlett-Packard Company>
[NVIDIA Display Driver Service / NVSvc][Stopped/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[TrueVector Internet Monitor / vsmon][Running/Auto Start]
<C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service><Zone Labs, LLC>
[Windows Live Setup Service / WLSetupSvc][Stopped/Manual Start]
<"C:\Program Files\Windows Live\installer\WLSetupSvc.exe"><>

==================================
Drivers
[ADI UAA Function Driver for High Definition Audio Service / ADIHdAudAddService][Running/Manual Start]
<system32\drivers\ADIHdAud.sys><Analog Devices, Inc.>
[General Purpose USB Driver (adildr.sys) / ADILOADER][Stopped/Auto Start]
<System32\Drivers\adildr.sys><Analog Deivces>
[USB ADSL WAN Adapter / adiusbaw][Running/Manual Start]
<system32\DRIVERS\adiusbaw.sys><Analog Devices Inc.>
[AEAudio Service / AEAudioService][Running/Manual Start]
<system32\drivers\AEAudio.sys><Andrea Electronics Corporation>
[Fujifilm USB MemoryCard ReaderWriter device driver / ALABULK][Running/Manual Start]
<System32\Drivers\ALABULK2.sys><Copyright (C) Fuji Photo film Co.,Ltd.>
[Pilote de processeur AMD / AmdK8][Running/System Start]
<system32\DRIVERS\AmdK8.sys><Advanced Micro Devices>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver][Running/System Start]
<\??\C:\systeme\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln][Running/System Start]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[avgio / avgio][Running/System Start]
<\??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys><Avira GmbH>
[avgntflt / avgntflt][Running/Manual Start]
<\??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys><Avira GmbH>
[avipbb / avipbb][Running/System Start]
<system32\DRIVERS\avipbb.sys><AVIRA GmbH>
[Microsoft UAA Function Driver for High Definition Audio Service / HdAudAddService][Stopped/Manual Start]
<system32\drivers\HdAudio.sys><Windows (R) Server 2003 DDK provider>
[Microsoft UAA Bus Driver for High Definition Audio / HDAudBus][Running/Manual Start]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[ATK0110 ACPI UTILITY / MTsensor][Running/Manual Start]
<system32\DRIVERS\ASACPI.sys><>
[nv / nv][Running/Manual Start]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD][Running/Manual Start]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus][Running/Manual Start]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[Logitech QuickCam Express(PID_0920) / PID_0920][Running/Manual Start]
<system32\DRIVERS\LV532AV.SYS><Logitech Inc.>
[Pilote de liaison parallèle directe / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20][Running/Boot Start]
<\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[SenFilt Service / SenFiltService][Running/Manual Start]
<system32\drivers\Senfilt.sys><Sensaura>
[srescan / srescan][Running/Boot Start]
<\SystemRoot\system32\ZoneLabs\srescan.sys><Zone Labs, LLC>
[ssmdrv / ssmdrv][Running/System Start]
<system32\DRIVERS\ssmdrv.sys><Avira GmbH>
[vsdatant / vsdatant][Running/System Start]
<System32\vsdatant.sys><Zone Labs, LLC>
[Codec Teletext standard / WSTCODEC][Stopped/Manual Start]
<system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>

==================================
Browser Add-ons
[Adobe PDF Reader Link Helper]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[SSVHelper Class]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} <C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll, Sun Microsystems, Inc.>
[Programme d'aide de l'Assistant de connexion Windows Live]
{9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[Java Plug-in 1.5.0_10]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll, Sun Microsystems, Inc.>
[]
{e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, N/A>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, N/A>
[QuickTime Object]
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} <C:\Program Files\QuickTime\QTPlugin.ocx, N/A>
[Java Plug-in 1.5.0_10]
{8AD9C840-044E-11D1-B3E9-00805F499D93} <C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll, Sun Microsystems, Inc.>
[MessengerStatsClient Class]
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} <C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll, Microsoft Corporation>
[Java Plug-in 1.5.0_10]
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} <C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll, Sun Microsystems, Inc.>
[Java Plug-in 1.5.0_10]
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} <C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll, Sun Microsystems, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[Adobe PDF Reader Link Helper]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[InformationCardSigninHelper Class]
{19916E01-B44E-4E31-94A4-4696DF46157B} <C:\WINDOWS\system32\icardie.dll, Microsoft Corporation>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[XML DOM Document]
{2933BF90-7B36-11D2-B20E-00C04F983E60} <%SystemRoot%\system32\msxml3.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Fichiers communs\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
[QuickTime Object]
{4063BE15-3B08-470D-A0D5-B37161CFFD69} <C:\Program Files\QuickTime\QTPlugin.ocx, N/A>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\system32\msxml3.dll, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Windows Script Host Shell Object]
{72C24DD5-D70A-438B-8A42-98424B88AFB8} <C:\WINDOWS\system32\wshom.ocx, Microsoft Corporation>
[SSVHelper Class]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} <C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll, Sun Microsystems, Inc.>
[Microsoft Web Browser]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\ieframe.dll, Microsoft Corporation>
[Programme d'aide de l'Assistant de connexion Windows Live]
{9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[AUDIO__MID Moniker Class]
{CD3AFA74-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Contrôle de l'Assistant de connexion Windows Live]
{D2517915-48CE-4286-970F-921E881B8C5C} <C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[]
{E1771B7F-98BE-407F-BA67-AA16ADA5D0C5} <C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGSC8~1.DLL, Microsoft Corporation>
[XML HTTP Request]
{ED8C108E-4349-11D2-91A4-00C04F7969E8} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML HTTP 3.0]
{F5078F35-C551-11D3-89B9-0000F81FE221} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML DOM Document]
{F6D90F11-9C73-11D3-B32E-00C04F990BB4} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML HTTP]
{F6D90F16-9C73-11D3-B32E-00C04F990BB4} <%SystemRoot%\system32\msxml3.dll, N/A>

==================================
Running Processes
[PID: 572 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 652 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 680 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\WgaLogon.dll] [Microsoft Corporation, 1.7.0017.0]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 724 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\AppPatch\AcAdProc.dll] [Microsoft Corporation, 5.1.2600.3008 (xpsp.061004-0027)]
[PID: 736 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 888 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 940 / SERVICE RÉSEAU][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 976 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\Normaliz.dll] [Microsoft Corporation, 6.0.5441.0 (winmain(wmbla).060628-1735)]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[C:\WINDOWS\system32\wups2.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]
[PID: 1024 / SERVICE RÉSEAU][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1148 / SERVICE LOCAL][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\Normaliz.dll] [Microsoft Corporation, 6.0.5441.0 (winmain(wmbla).060628-1735)]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[PID: 1388 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\UNIDRVUI.DLL] [Microsoft Corporation, 5.2.3790.120 (srv03_qfe.031205-1652)]
[C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\UNIDRV.DLL] [Microsoft Corporation, 5.2.3790.184 (srv03_qfe.040410-1236)]
[PID: 1436 / SYSTEM][C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe] [Avira GmbH, 7.00.00.82]
[C:\Program Files\AntiVir PersonalEdition Classic\avgio.dll] [Avira GmbH, 7.00.00.01]
[C:\Program Files\AntiVir PersonalEdition Classic\avevtlog.dll] [Avira GmbH, 7.00.00.20]
[C:\Program Files\AntiVir PersonalEdition Classic\guardmsg.dll] [Avira GmbH, 7.00.11.00]
[C:\Program Files\AntiVir PersonalEdition Classic\sqlite3.dll] [, 3, 3, 17, 1]
[C:\Program Files\AntiVir PersonalEdition Classic\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\AntiVir PersonalEdition Classic\AVPREF.DLL] [Avira GmbH, 7.00.02.02]
[C:\Program Files\AntiVir PersonalEdition Classic\SMTPLIB.DLL] [Avira GmbH, 1.02.00.17]
[C:\Program Files\AntiVir PersonalEdition Classic\AVPACK32.DLL] [Avira GmbH, 7.03.00.15]
[C:\Program Files\AntiVir PersonalEdition Classic\unacev2.dll] [N/A, ]
[C:\Program Files\AntiVir PersonalEdition Classic\AVEWIN32.DLL] [Avira GmbH, 7.6.0.30]
[C:\Program Files\AntiVir PersonalEdition Classic\avipc.dll] [Avira GmbH, 1.00.00.04]
[PID: 1796 / Guy][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\WINDOWS\system32\Normaliz.dll] [Microsoft Corporation, 6.0.5441.0 (winmain(wmbla).060628-1735)]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[C:\WINDOWS\system32\ieframe.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[C:\WINDOWS\system32\WPDShServiceObj.dll] [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
[C:\WINDOWS\system32\PortableDeviceTypes.dll] [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
[C:\WINDOWS\system32\PortableDeviceApi.dll] [Microsoft Corporation, 5.2.5721.5145 (WMP_11.061018-2006)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 7.0.7.2006011200]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll] [Sun Microsystems, Inc., 8.0.0.9064]
[C:\Program Files\OpenOffice.org 2.0\program\uwinapi.dll] [Sun Microsystems, Inc., 8.0.0.9054]
[C:\Program Files\OpenOffice.org 2.0\program\stlport_vc7145.dll] [STLport Consulting, Inc., 4.5.2003.0120]
[C:\Program Files\OpenOffice.org 2.0\program\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 7.0.0.0]
[C:\GESTIO~1\WORDVI~1\OFFICE11\msohev.dll] [Microsoft Corporation, 11.0.5510]
[C:\WINDOWS\system32\nvwddi.dll] [NVIDIA Corporation, 6.14.10.8205]
[C:\graphisme\PhotoRedukto\PhotoReduced.dll] [Daxoft, 1, 3, 0, 5]
[C:\graphisme\PhotoRedukto\AutouiDll.dll] [N/A, ]
[C:\graphisme\PhotoRedukto\Tools.dll] [N/A, ]
[C:\graphisme\PhotoRedukto\cximagecrt.dll] [Pizzolato Davide - www.xdp.it, 5, 9, 9, c]
[C:\graphisme\PhotoRedukto\AboutBox.dll] [N/A, ]
[C:\WINDOWS\system32\nvcpl.dll] [NVIDIA Corporation, 6.14.10.8205]
[C:\WINDOWS\system32\NVRSFR.DLL] [NVIDIA Corporation, 6.14.10.8205]
[C:\WINDOWS\system32\nvshell.dll] [, ]
[C:\systeme\AVG Anti-Spyware 7.5\shellexecutehook.dll] [GRISOFT s.r.o., 7, 5, 1, 36]
[C:\systeme\AVG Anti-Spyware 7.5\context.dll] [GRISOFT s.r.o., 7, 5, 1, 36]
[C:\systeme\ZoneAlarm\zlavscan.dll] [Zone Labs, LLC, 7.0.337.000]
[C:\systeme\ZoneAlarm\zlavscan_Loc040c.dll] [Zone Labs Inc., 5.3.017.000]
[C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll] [Avira GmbH, 7.00.00.10]
[C:\Program Files\AntiVir PersonalEdition Classic\MFC71U.DLL] [Microsoft Corporation, 7.10.3077.0]
[c:\Corel\Office7\Shared\QFinder7\PFSE70.DLL] [Novell, Inc., 7.0.2.2014]
[PID: 1880 / SYSTEM][C:\Program Files\AntiVir PersonalEdition Classic\sched.exe] [Avira GmbH, 7.00.00.62]
[C:\Program Files\AntiVir PersonalEdition Classic\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\AntiVir PersonalEdition Classic\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\AntiVir PersonalEdition Classic\schedr.dll] [Avira GmbH, 7.00.24.00]
[C:\Program Files\AntiVir PersonalEdition Classic\avevtlog.dll] [Avira GmbH, 7.00.00.20]
[C:\Program Files\AntiVir PersonalEdition Classic\sqlite3.dll] [, 3, 3, 17, 1]
[C:\Program Files\AntiVir PersonalEdition Classic\avipc.dll] [Avira GmbH, 1.00.00.04]
[PID: 1968 / SYSTEM][C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe] [Hewlett-Packard Company, 1.4.39.1]
[C:\Program Files\Fichiers communs\LightScribe\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Fichiers communs\LightScribe\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[PID: 160 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\escwiad.dll] [SEIKO EPSON CORP., 1.04]
[PID: 532 / Guy][C:\WINDOWS\system32\RUNDLL32.EXE] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\NvMcTray.dll] [NVIDIA Corporation, 6.14.10.8205]
[C:\WINDOWS\system32\NVRSFR.DLL] [NVIDIA Corporation, 6.14.10.8205]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[PID: 548 / Guy][C:\Program Files\Analog Devices\Core\smax4pnp.exe] [Analog Devices, Inc., 6, 0, 0, 20]
[C:\Program Files\Analog Devices\Core\SMWDMIF.dll] [Analog Devices, Inc., 6, 0, 4000, 014]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 380 / Guy][C:\Program Files\Analog Devices\SoundMAX\Smax4.exe] [Analog Devices, Inc., 5, 2, 0, 12]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[PID: 588 / Guy][C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe] [Sun Microsystems, Inc., 5.0.100.3]
[C:\WINDOWS\system32\Normaliz.dll] [Microsoft Corporation, 6.0.5441.0 (winmain(wmbla).060628-1735)]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[PID: 624 / Guy][C:\WINDOWS\system32\rundll32.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[C:\WINDOWS\system32\nvwddi.dll] [NVIDIA Corporation, 6.14.10.8205]
[C:\WINDOWS\system32\nvshell.dll] [, ]
[PID: 636 / Guy][C:\Program Files\Microsoft IntelliType Pro\itype.exe] [Microsoft Corporation, 5.50.662.0]
[C:\Program Files\Microsoft IntelliType Pro\dpgmkb.dll] [Microsoft Corporation, 5.50.661.0]
[C:\Program Files\Microsoft IntelliType Pro\dpgcmd.dll] [Microsoft Corporation, 5.50.661.0]
[C:\Program Files\Microsoft IntelliType Pro\srres.dll] [Microsoft Corporation, 5.50.646.0]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[C:\systeme\AVG Anti-Spyware 7.5\shellexecutehook.dll] [GRISOFT s.r.o., 7, 5, 1, 36]
[PID: 640 / Guy][C:\Program Files\Microsoft IntelliPoint\ipoint.exe] [Microsoft Corporation, 5.50.662.0]
[C:\Program Files\Microsoft IntelliPoint\dpgmkb.dll] [Microsoft Corporation, 5.50.661.0]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[C:\WINDOWS\system32\iertutil.dll] [Microsoft Corporation, 7.00.6000.16544 (vista_gdr.070814-1500)]
[C:\Program Files\Microsoft IntelliPoint\ipres.dll] [Microsoft Corporation, 5.50.646.0]
[C:\Program Files\Microsoft IntelliPoint\dpgcmd.dll] [Microsoft Corporation, 5.50.661.0]
[C:\Program Files\Microsoft IntelliPoint\srres.dll] [Microsoft Corporation, 5.50.646.0]
[PID: 740 / Guy][C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe] [Avira GmbH, 7.02.00.16]
[C:\Program Files\AntiVir PersonalEdition Classic\MFC71U.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\AntiVir PersonalEdition Classic\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\AntiVir PersonalEdition Classic\cclib.dll] [Avira GmbH, 7.02.00.03]
[C:\Program Files\AntiVir PersonalEdition Classic\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\nview.dll] [, ]
[C:\WINDOWS\system32\NVWRSFR.DLL] [NVIDIA Corporation, 6.14.10.11019]
[c:\program files\antivir personaledition classic\ccgen.dll]

Répondre à dimi3

dimi3, le 29 oct 2007 à 19:20:28

J'ai l'impression que mon message précédent a été tronqué, sans doute en raison de sa longueur. Je vous remerciais en fin de message du temps que vous m'avez consacré et vous demandais si nous allions arriver à bout de ce mystérieux cheval de troie !
Je vous souhaite une bonne soirée.

Répondre à dimi3

FillPCA, le 29 oct 2007 à 19:58:23

Re,

On va y arriver. C'est très facile d'infecter un PC. Un antivirus est utlie pour éviter l'infection. Quand elle franchit le bouclier, l'antivirus est généralemement impuissant.

1/ * Désinstalle Navilog1 soit:
* Par Ajout/suppression de programmes du Panneau de configuration, en sélectionnant Navilog1 dans la liste > Supprimer
* Ou par le menu: Démarrer / Tous le programmes / Navilog1 / Désinstaller Navilog1
* Enfin, après désinstallation, supprimer le dossier C:\Program Files\Navilog1, si encore existant.

2/ Quel est le rôle de ce programme alarm ? Désinstalle-le si nécessaire et redémarre le PC.

3/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
* Choisis xxxxx
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

Edite le rapport Kaspersky.

FillPCA

Répondre à FillPCA

dimi3, le 29 oct 2007 à 22:41:28

Concernant le programme "Alarme" , il s'agissait d'un minuteur freeware que j'avais téléchargé. Avast a signalé la présence du troyen. Je l'ai supprimé aussitôt par le bouton "Delete". Il est introuvable sur mon disque dur. C'est pourquoi je m'étonne qu'il ait été listé dans le rapport du message précédent.

Voici le rapport Kaspersy :

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, October 29, 2007 10:29:30 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 29/10/2007
Kaspersky Anti-Virus database records: 420805
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 107915
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:24:06

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\Perflib_Perfdata_310.dat Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\~DF44C6.tmp Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\~DF6C59.tmp Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\~DF6C79.tmp Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\~DF7ABD.tmp Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temp\~DF7ADE.tmp Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Guy\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Guy\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Guy\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP97\change.log Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\PFPJOBPR.{PB Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{A58460EF-0983-4EC7-A8F0-2289E9257685}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\ZLT03651.TMP Object is locked skipped
C:\WINDOWS\Temp\ZLT04e1e.TMP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
E:\System Volume Information\_restore{3E7C4987-1D5E-40A3-A631-B2194E172DEA}\RP97\change.log Object is locked skipped

Scan process completed.

Répondre à dimi3

FillPCA, le 29 oct 2007 à 22:56:42

Re,

Pour moi, c'est propre maintenant. As-tu toujours des alertes ?

Je regarde cela demain.

FillPCA

Répondre à FillPCA

dimi3, le 30 oct 2007 à 06:52:28

Bonjour,
Je n'ai pas eu d"alerte en ouvrant mon ordi ce matin. Ces alertes étaient affichées par Avast chaque fois que se lançait l'écran de veille de cet antivirus qui a le double avantage de protéger l'écran et de lancer automatiquement le scan. Du fait que l'ai désinstallé je n'aurai plus ses alertes affolantes. Je vais faire scanner mes disques par Antivir et vous dirai le résultat dès que ce sera terminé.
Souhaitant que le cauchemar soit terminé. Je ne sais comment vous remercier pour votre disponibilité, vos connaissances et votre patience. Etes-vous un visiteur du forum, mettant vos connaissances au service des autres visiteurs, ou êtes-vous un professionnel travaillant dans la société qui propose ce forum ?
Je vous souhaite une bonne journée.

Répondre à dimi3

FillPCA, le 30 oct 2007 à 07:24:09

Bonjour,

Si Antivir ne détecte rien, on passe à la dernière étape.

1/ Tu dois désactiver puis réactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
Décoche cette case, clique sur appliquer>OK et redémarre le PC.

2/ Tu peux renforcer la protection de ton pc en consultant le lien qui se trouve ici : http://perso.orange.fr/Le-site-de-Fill/S%E9curit%E9/Logiciels%20de%20protection.html

3/ Pour répondre à ta dernière question, je donne de mon temps ici ou ailleurs pour aider des personnes en difficulté. Tous les intervenants sont bénévoles.

Bonne journée et bon surf !

N'oublie pas de cliquer sur le bouton "résolu" si tel est le cas.

FillPCA

Répondre à FillPCA

dimi3, le 30 oct 2007 à 08:47:12

Voici le rapport de l'antivirus Antivir. Il ne signale pas de virus mais 34 Warnigs ! Est-ce à prendre en compte ?

---------------

AntiVir PersonalEdition Classic
Report file date: mardi 30 octobre 2007 07:09

Scanning for 908208 virus strains and unwanted programs.

Platform: Windows XP
]
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 09/09/2007 16:03:13
AVSCAN.DLL : 7.0.6.0 49192 Bytes 09/09/2007 16:03:13
LUKE.DLL : 7.0.5.3 147496 Bytes 09/09/2007 16:03:14
LUKERES.DLL : 7.0.6.1 10280 Bytes 09/09/2007 16:03:14
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 17:44:32
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 18:39:42
ANTIVIR2.VDF : 7.0.0.140 940544 Bytes 26/10/2007 18:51:34
ANTIVIR3.VDF : 7.0.0.151 58368 Bytes 29/10/2007 19:51:35
AVEWIN32.DLL : 7.6.0.30 3056128 Bytes 26/10/2007 18:51:34
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 09/09/2007 16:03:13
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 12:12:51
AVREG.DLL : 7.0.1.6 30760 Bytes 09/09/2007 16:03:13
AVARKT.DLL : 1.0.0.20 278568 Bytes 09/09/2007 16:03:09
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 09/09/2007 16:03:10
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 09/09/2007 16:03:03
RCTEXT.DLL : 7.0.62.0 86056 Bytes 09/09/2007 16:03:03
SQLITE3.DLL : 3.3.17.1 339968 Bytes 09/09/2007 16:03:15

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 30 octobre 2007 07:09

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'YankClip.exe' - '1' Module(s) have been scanned
Scan process 'PFPPOP70.EXE' - '1' Module(s) have been scanned
Scan process 'ePrompter.exe' - '1' Module(s) have been scanned
Scan process 'dslmon.exe' - '1' Module(s) have been scanned
Scan process 'KonniSymbol.exe' - '1' Module(s) have been scanned
Scan process 'ubTray.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'ipoint.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'itype.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'SMax4.exe' - '1' Module(s) have been scanned
Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
39 processes with 39 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '31' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\'

End of the scan: mardi 30 octobre 2007 08:05
Used time: 56:18 min

The scan has been done completely.

9668 Scanning directories
216599 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
216599 Files not concerned
3733 Archives were scanned
34 Warnings
0 Notes

Répondre à dimi3

FillPCA, le 30 oct 2007 à 08:52:54

Re,

Pour moi, c'est propre.

FillPCA

Répondre à FillPCA

dimi3, le 30 oct 2007 à 09:47:19

J'ai réussi la dernière opération que vous m'avez conseillée. Je me suis un peu perdu mais j'y suis parvenu en tâtonnant. J'ai ajouté quelques précisions pour faciliter la lecture d'un futur néophyte comme moi :

1/ Tu dois désactiver puis réactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Choisis l'item "Propriétés". Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
La fenêtre se ferme.
Refais un clic droit sur "poste de traveil", choisis l'item "Propriétés". Dans l’onglet « restauration du système », décoche maintenant la case « désactiver la restauration système ». Clique sur appliquer>OK.
Redémarre le PC.

J'ai visité la page d'aide que vous m'avez indiquée. Elle est pleine de renseignements qui donnent froid dans le dos. Je serai dorénavant extrêment prudent. Exit les visites de sites à outrance. Exit les téléchargements.

Je vous remercie encore pour tout ce que vous faites en général, et ce que vous avez fait pour moi en particulier.

Je vous souhaite une bonne journée.

Répondre à dimi3

23 réponses 12 Suivant

Posez votre question Répondre