Hldrrr.exe: Trojan [Résolu]

Salut,

Je viens de trouver ça:
http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php

salut plop, kilian
bon, c'est pas une infection que j'apprecie vraiment , dailleurs, est-ce que j'en apprecie une ;))

c'est bien du bagle donc le methode chez malekal est bonne

donc en premier elibaglia
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

par la suite tu postes le rapport ici et un hijackthis egalement.

le canned pour hijackthis
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

@+

Tout d'abord, un grand Merci pour la qualité et la rapidité de réponse.

Salut kilian.
Merci pour le lien, j'ai voulu suivre leur conseils, mais le lien mettait trop de temps à s'ouvrir (Délai dépassé), donc je n'ai pas pu télécharger elibaglia.

Salut noctambule
Même topo que pour killian.
Y a-t-il un autre lien où le logiciel serait téléchargeable?
Y a-t-il un équivalent disponible?

En attendant, je télécharge HJT, je posterais un log après avoir eu recours à elibaglia, à moins que tu me le demande avant.


Edit: C'est bon, le site d'elibaglia est disponible, je télécharge ça tout de suite et suis tes indications à la lettre.

Rapport Elibagla:


Sun May 11 17:30:26 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.33
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun May 11 17:30:40 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3933
Nº Total de Ficheros: 32071
Nº de Ficheros Analizados: 7856
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun May 11 17:33:30 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2398
Nº Total de Ficheros: 14845
Nº de Ficheros Analizados: 1627
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun May 11 17:33:59 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):



Rapport HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:14, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O1 - Hosts: luciolis2.servegame.com 80.239.180.113
O1 - Hosts: luciolis2.servegame.com 91.121.124.125
O1 - Hosts: luciolis2.servegame.com 91.121.106.15
O1 - Hosts: luciolis2.servegame.com 91.121.69.136
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


End of file - 5699 bytes


J'ai bel et bien eu l'avertissement (envoyer tel fichier à telle adresse). Ce qui m'étonne, c'est de l'avoir eu avant de lancer le scan.

Bon courage, et merci encore.


PS: Juste pour info, le fichier téléchargé qui, à l'ouverture, a fait "apparaitre" le trojan, est cette ligne:
C:\WINDOWS\SOUNDMAN.EXE

Alors est-ce que c'est toi qui a modifié ton fichier host ?

et peux faire un rapport avec diaghelp ?
* Télécharge DiagHelp.zip sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout
* Un nouveau dossier chercher va être créé DiagHelp
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.


ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemander l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.

Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

======================================================

Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

http://www.malekal.com/DiagHelp/

http://www.malekal.com/DiagHelp/DiagHelp_helper.php

@+

Pour la petite histoire, une personne jouant à Wow sur mon PC à essayer de télécharger "bible WOW", et il s'est retrouvé avec une icone "SOUNDMAN" sur le bureau. Il a double cliquer dessus, l'alerte Avast lui a fait peur, et m'a appelé à ce moment la. Luciolis étant le server privé sur lequel il joue à WOW.

Si je doit désinstaller le jeux et effacer le contenu du fichier host, il n'y a pas de soucis (ça lui permettra peut-être de faire quelque chose de plus intéressant).

Rapport DiagHelp:

DiagHelp version v1.4 - http://www.malekal.com
excute le 11/05/2008 à 18:22:16,18


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->11/05/2008 18:22:14
C:\WINDOWS\prefetch\WINZIP32.EXE-335422C1.pf -->11/05/2008 18:20:39
C:\WINDOWS\prefetch\DISTNOTED.EXE-02950815.pf -->11/05/2008 17:54:11
C:\WINDOWS\prefetch\APPLEMOBILEDEVICEHELPER.EXE-26E2CD91.pf -->11/05/2008 17:54:11
C:\WINDOWS\prefetch\IPODSERVICE.EXE-3192DE38.pf -->11/05/2008 17:54:04
C:\WINDOWS\prefetch\ITUNES.EXE-1A268432.pf -->11/05/2008 17:53:53
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->11/05/2008 17:47:55
C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-2D4B6027.pf -->11/05/2008 17:47:24
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->11/05/2008 17:47:23
C:\WINDOWS\prefetch\CCLEANER.EXE-0BCE437C.pf -->11/05/2008 17:47:17

C:\WINDOWS\System32\drivers\fidbox.dat -->11/05/2008 18:21:21
C:\WINDOWS\System32\drivers\fidbox.idx -->11/05/2008 15:24:53
C:\WINDOWS\System32\drivers\sptd.sys -->06/05/2008 07:34:27
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->29/03/2008 19:35:49
C:\WINDOWS\System32\drivers\aswmon2.sys -->29/03/2008 19:35:21
C:\WINDOWS\System32\drivers\aswSP.sys -->29/03/2008 19:31:34
C:\WINDOWS\System32\drivers\aswRdr.sys -->29/03/2008 19:29:08

C:\WINDOWS\System32\vsconfig.xml -->11/05/2008 15:25:46
C:\WINDOWS\System32\wpa.dbl -->11/05/2008 10:45:30
C:\WINDOWS\System32\nvapps.xml -->08/05/2008 11:34:22
C:\WINDOWS\System32\PerfStringBackup.INI -->08/05/2008 06:59:21
C:\WINDOWS\System32\perfh00C.dat -->08/05/2008 06:59:21
C:\WINDOWS\System32\perfh009.dat -->08/05/2008 06:59:21
C:\WINDOWS\System32\perfc00C.dat -->08/05/2008 06:59:21
C:\WINDOWS\System32\perfc009.dat -->08/05/2008 06:59:21
C:\WINDOWS\System32\FNTCACHE.DAT -->07/05/2008 03:00:59
C:\WINDOWS\System32\nscompat.tlb -->05/05/2008 17:53:33
C:\WINDOWS\System32\amcompat.tlb -->05/05/2008 17:53:33
C:\WINDOWS\System32\wpa.bak -->05/05/2008 17:06:42
C:\WINDOWS\System32\TZLog.log -->05/05/2008 04:26:38
C:\WINDOWS\System32\nmp.log -->05/05/2008 04:23:02
C:\WINDOWS\System32\_nvidia_xxx_.log -->05/05/2008 04:19:21
C:\WINDOWS\System32\LoopyMusic.wav -->04/05/2008 21:13:41
C:\WINDOWS\System32\BuzzingBee.wav -->04/05/2008 21:13:41
C:\WINDOWS\System32\CONFIG.NT -->04/05/2008 20:48:58
C:\WINDOWS\System32\d3d9caps.dat -->04/05/2008 20:25:50
C:\WINDOWS\System32\zllictbl.dat -->04/05/2008 20:03:19
C:\WINDOWS\System32\uxtheme.dll -->29/04/2008 17:43:43
C:\WINDOWS\System32\h323log.txt -->28/04/2008 19:11:50
C:\WINDOWS\System32\$winnt$.inf -->28/04/2008 17:19:20
C:\WINDOWS\System32\WindowsLogon.manifest -->28/04/2008 17:16:18
C:\WINDOWS\System32\logonui.exe.manifest -->28/04/2008 17:16:18

C:\WINDOWS\QTFont.qfn -->11/05/2008 15:25:58
C:\WINDOWS\bootstat.dat -->11/05/2008 15:25:33
C:\WINDOWS\SchedLgU.Txt -->11/05/2008 15:24:51
C:\WINDOWS\QTFont.for -->05/05/2008 18:37:16
C:\WINDOWS\win.ini -->05/05/2008 17:53:26
C:\WINDOWS\mozver.dat -->04/05/2008 22:05:15
C:\WINDOWS\Kit.ini -->04/05/2008 21:18:17
C:\WINDOWS\ALCFDRTM.VER -->04/05/2008 21:13:40
C:\WINDOWS\ALCFDRTM.EXE -->04/05/2008 21:13:40
C:\WINDOWS\BricoPackFoldersDelete.cmd -->04/05/2008 17:47:46
C:\WINDOWS\BricoPackUninst.txt -->04/05/2008 17:47:45
C:\WINDOWS\BricoPackUninst.cmd -->04/05/2008 17:47:45
C:\WINDOWS\BricoPack Wallpaper.bmp -->04/05/2008 17:47:30
C:\WINDOWS\system.ini -->28/04/2008 19:07:38
C:\WINDOWS\REGLOCS.OLD -->28/04/2008 17:20:02

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1428
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x10000000 0xe000 1.09.0000.0000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
0x013d0000 0x11000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
0x01710000 0x12000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02620000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x00b30000 0xb000 7.00.0473.0000 C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll
0x00b40000 0x4000 5.03.0017.0000 C:\Program Files\Zone Labs\ZoneAlarm\zlavscan_Loc040c.dll
0x64f00000 0x12000 4.08.1169.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x00cb0000 0x21000 1.02.0001.0002 C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\CMExt.dll
0x61310000 0x54000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.4\program\MSVCR71.dll
0x60e20000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.4\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.4\program\MSVCP71.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 648
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D857-E603

Répertoire de C:\WINDOWS\system32

02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 257 593 528 320 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D857-E603

Répertoire de C:\WINDOWS\Downloaded Program Files

11/05/2008 16:46 <REP> .
11/05/2008 16:46 <REP> ..
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118 784 bdupd.dll
28/04/2008 17:16 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
25/05/2006 01:21 53 248 ipsupd.dll
11/08/2005 15:30 417 792 isusweb.dll
16/03/2005 12:34 7 407 lang.ini
07/12/2004 17:07 32 libfn.dll
14/03/2005 14:38 126 live.ini
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
14/03/2005 14:58 7 073 scanoptions.tsi
14 fichier(s) 1 298 124 octets

Total des fichiers listés :
14 fichier(s) 1 298 124 octets
2 Rép(s) 257 593 528 320 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 18:23:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:89,33,f7,86,6a,0c,48,38,e6,1d,8c,28,00,d1,f8,1a,93,89,e8,95,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9f,41,4d,b5,e5,74,3a,16,3b,83,5b,80,21,d5,10,1d,c1,..
"khjeh"=hex:b5,4c,5f,de,69,64,0e,ac,77,dd,0d,76,d9,10,2e,80,73,59,0d,7a,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e3,03,6a,fc,33,cd,83,32,8e,09,d4,e2,99,2f,e9,a6,e4,c9,ec,81,bc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:89,33,f7,86,6a,0c,48,38,e6,1d,8c,28,00,d1,f8,1a,93,89,e8,95,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9f,41,4d,b5,e5,74,3a,16,3b,83,5b,80,21,d5,10,1d,c1,..
"khjeh"=hex:b5,4c,5f,de,69,64,0e,ac,77,dd,0d,76,d9,10,2e,80,73,59,0d,7a,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e3,03,6a,fc,33,cd,83,32,8e,09,d4,e2,99,2f,e9,a6,e4,c9,ec,81,bc,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
208 - AppleMobileDevi
244 - mDNSResponder.e
392 - nvsvc32.exe
624 - csrss.exe
648 - winlogon.exe
692 - services.exe
704 - lsass.exe
848 - svchost.exe
908 - svchost.exe
948 - svchost.exe
1076 - svchost.exe
1132 - usnsvc.exe
1148 - svchost.exe
1196 - ashDisp.exe
1228 - zlclient.exe
1344 - vsmon.exe
1428 - explorer.exe
1720 - ashServ.exe
1904 - cmd.exe
2116 - RocketDock.exe
2124 - msnmsgr.exe
2184 - daemon.exe
2212 - msmsgs.exe
2564 - iTunes.exe
2744 - YzShadow.exe
3120 - firefox.exe
4060 - iPodService.exe

Total number of processes = 28
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F7286000 - spee.sys
F7989000 - \WINDOWS\System32\Drivers\WMILIB.SYS
F726E000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
F723F000 - ACPI.sys
F722E000 - pci.sys
F7487000 - isapnp.sys
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7497000 - MountMgr.sys
F720F000 - ftdisk.sys
F770F000 - PartMgr.sys
F74A7000 - VolSnap.sys
F71F7000 - atapi.sys
F74B7000 - disk.sys
F74C7000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F71D7000 - fltMgr.sys
F71C5000 - sr.sys
F71AE000 - KSecDD.sys
F7121000 - Ntfs.sys
F70F4000 - NDIS.sys
F70E0000 - srescan.sys
F70C5000 - Mup.sys
F779F000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F705A000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F77A7000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F6C6A000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
F6C46000 - \SystemRoot\system32\drivers\portcls.sys
F75D7000 - \SystemRoot\system32\drivers\drmk.sys
F6C23000 - \SystemRoot\system32\drivers\ks.sys
F75E7000 - \SystemRoot\system32\DRIVERS\imapi.sys
F75F7000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F7607000 - \SystemRoot\system32\DRIVERS\redbook.sys
F64F0000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F64DC000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F6477000 - \SystemRoot\System32\Drivers\a5aanc6k.SYS
F77F7000 - \SystemRoot\system32\DRIVERS\fdc.sys
F6466000 - \SystemRoot\system32\DRIVERS\serial.sys
F796B000 - \SystemRoot\system32\DRIVERS\serenum.sys
F6452000 - \SystemRoot\system32\DRIVERS\parport.sys
F7617000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F77FF000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7B8A000 - \SystemRoot\system32\DRIVERS\audstub.sys
F7627000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F796F000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F643B000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F7637000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7647000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F7807000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F642A000 - \SystemRoot\system32\DRIVERS\psched.sys
F7657000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F780F000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F7817000 - \SystemRoot\system32\DRIVERS\raspti.sys
F7687000 - \SystemRoot\system32\DRIVERS\termdd.sys
F781F000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F79A3000 - \SystemRoot\system32\DRIVERS\swenum.sys
F63F6000 - \SystemRoot\system32\DRIVERS\update.sys
F797F000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7697000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F79A5000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F76A7000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F4256000 - \SystemRoot\system32\DRIVERS\klif.sys
F792B000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F76E7000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F7847000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F79AD000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7B2C000 - \SystemRoot\System32\Drivers\Null.SYS
F79AF000 - \SystemRoot\System32\Drivers\Beep.SYS
F784F000 - \SystemRoot\System32\drivers\vga.sys
F79B1000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79B3000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7857000 - \SystemRoot\System32\Drivers\Msfs.SYS
F785F000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7937000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F4183000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F412B000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F76F7000 - \SystemRoot\System32\Drivers\aswTdi.SYS
F74F7000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F4103000 - \SystemRoot\system32\DRIVERS\netbt.sys
F40A3000 - \SystemRoot\System32\vsdatant.sys
F4081000 - \SystemRoot\System32\drivers\afd.sys
F7507000 - \SystemRoot\system32\DRIVERS\netbios.sys
F4056000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F3FE7000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F7527000 - \SystemRoot\System32\Drivers\Fips.SYS
F3FD1000 - \SystemRoot\System32\Drivers\aswSP.SYS
F786F000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F3F5F000 - \SystemRoot\system32\DRIVERS\MRVW225.sys
F63E2000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F7567000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F3F47000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79DF000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7091000 - \SystemRoot\System32\drivers\Dxapi.sys
F7717000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7BBE000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
F776F000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
BAF94000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
BABB2000 - \SystemRoot\System32\Drivers\aswMon2.SYS
BAA46000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F79BD000 - \SystemRoot\System32\Drivers\ParVdm.SYS
BA8DC000 - \SystemRoot\system32\DRIVERS\srv.sys
BA89F000 - \SystemRoot\system32\drivers\wdmaud.sys
BAAFA000 - \SystemRoot\system32\drivers\sysaudio.sys
BA48B000 - \SystemRoot\System32\Drivers\aswRdr.SYS
BA18A000 - \SystemRoot\System32\Drivers\HTTP.sys
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
B96F5000 - \SystemRoot\system32\drivers\kmixer.sys
F7BAF000 * ????????t --[Hidden]--

Total number of drivers = 114

Liste des programmes installes

a-squared Free 3.0
AMD Processor Driver
Apple Mobile Device Support
Apple Software Update
Assistant de connexion Windows Live
avast! Antivirus
Bonjour
CCleaner (remove only)
CommentCaMarche 2.0.7
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Darluok Patch
eMule
EVEREST Home Edition v2.20
GOM Player
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
ioIsland.com ClearTweak
iTunes
Lecteur Windows Media 11
Ma-Config.com plugin
Macromedia Flash Player 8
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944338)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911164)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Moniteur WiFi OLITEC
Mozilla Firefox (2.0.0.14)
MSN
NVIDIA Drivers
OpenOffice.org 2.4
Pack Vista Inspirat 2 1.0
QuickTime
Realtek AC'97 Audio
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
WinZip 11.1
World of Warcraft
Wow Cartographe 1.07
ZoneAlarm



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D857-E603

Répertoire de C:\Program Files

11/05/2008 17:35 <REP> .
11/05/2008 17:35 <REP> ..
28/04/2008 17:26 <REP> Alwil Software
06/05/2008 06:46 <REP> AMD
05/05/2008 18:35 <REP> Apple Software Update
11/05/2008 03:17 <REP> a-squared Free
05/05/2008 18:36 <REP> Bonjour
28/04/2008 17:28 <REP> CCleaner
08/05/2008 07:01 <REP> CommentCaMarche
28/04/2008 17:14 <REP> ComPlus Applications
07/05/2008 08:10 <REP> DAEMON Tools Lite
10/05/2008 06:43 <REP> eMule
05/05/2008 18:35 <REP> Fichiers communs
09/05/2008 14:58 <REP> GRETECH
05/05/2008 18:36 <REP> Internet Explorer
04/05/2008 19:50 <REP> Inventel
09/05/2008 17:20 <REP> ioIsland
05/05/2008 18:36 <REP> iPod
05/05/2008 18:37 <REP> iTunes
09/05/2008 17:16 <REP> Lavalys
04/05/2008 20:19 <REP> ma-config.com
05/05/2008 04:27 <REP> Messenger
28/04/2008 17:17 <REP> microsoft frontpage
04/05/2008 17:49 <REP> Movie Maker
11/05/2008 17:47 <REP> Mozilla Firefox
05/05/2008 16:08 <REP> MSN
28/04/2008 17:13 <REP> MSN Gaming Zone
28/04/2008 17:15 <REP> NetMeeting
28/04/2008 17:46 <REP> OLITEC
28/04/2008 17:13 <REP> Online Services
06/05/2008 07:56 <REP> OpenOffice.org 2.4
05/05/2008 04:27 <REP> Outlook Express
05/05/2008 18:36 <REP> QuickTime
04/05/2008 21:10 <REP> Realtek AC97
28/04/2008 17:16 <REP> Services en ligne
11/05/2008 17:35 <REP> Trend Micro
05/05/2008 16:35 <REP> Wanadoo
05/05/2008 16:19 <REP> Windows Live
05/05/2008 17:53 <REP> Windows Media Connect 2
05/05/2008 17:53 <REP> Windows Media Player
28/04/2008 17:13 <REP> Windows NT
04/05/2008 23:15 <REP> WinZip
06/05/2008 17:10 <REP> World of Warcraft
04/05/2008 23:59 <REP> WowCartographe
28/04/2008 17:17 <REP> xerox
04/05/2008 20:01 <REP> Zone Labs
0 fichier(s) 0 octets
46 Rép(s) 257 592 750 080 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D857-E603

Répertoire de C:\Program Files\fichiers communs

05/05/2008 18:35 <REP> .
05/05/2008 18:35 <REP> ..
28/04/2008 17:46 <REP> Adobe
05/05/2008 18:35 <REP> Apple
06/05/2008 16:31 <REP> Blizzard Entertainment
04/05/2008 19:50 278 528 FDEUnInstaller.exe
05/05/2008 04:12 <REP> InstallShield
05/05/2008 16:19 <REP> Microsoft Shared
28/04/2008 17:15 <REP> MSSoap
28/04/2008 19:07 <REP> ODBC
28/04/2008 17:15 <REP> Services
28/04/2008 19:07 <REP> SpeechEngines
05/05/2008 04:27 <REP> System
1 fichier(s) 278 528 octets
12 Rép(s) 257 592 750 080 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D857-E603

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

28/04/2008 17:23 <REP> .
28/04/2008 17:23 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 257 592 750 080 octets libres




c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.6.2.9\iTunesSetupAdmin.exe
c:\Documents and Settings\plop\Application Data\MSNInstaller\msnauins.exe
c:\Documents and Settings\plop\Bureau\169.21_forceware_winxp_32bit_international_whql.exe
c:\Documents and Settings\plop\Bureau\6.86_nforce_win2kxp_international_whql.exe
c:\Documents and Settings\plop\Bureau\amdcpu_xp2k.exe
c:\Documents and Settings\plop\Bureau\ccm-2.0.7.exe
c:\Documents and Settings\plop\Bureau\DVR110D_FW139EU.EXE
c:\Documents and Settings\plop\Bureau\ELIBAGLA.AG%D8EB1%D8H.EXE
c:\Documents and Settings\plop\Bureau\everesthome220.exe
c:\Documents and Settings\plop\Bureau\flashget196en.exe
c:\Documents and Settings\plop\Bureau\GOMPLAYERENSETUP.EXE
c:\Documents and Settings\plop\Bureau\HJTInstall.exe
c:\Documents and Settings\plop\Bureau\matroska-pack-full_matroska_pack_full_1.1.2_anglais_12413.exe
c:\Documents and Settings\plop\Bureau\OOo_2.4.0_Win32Intel_install_fr.exe
c:\Documents and Settings\plop\Bureau\setup(2).exe
c:\Documents and Settings\plop\Bureau\setup.exe
c:\Documents and Settings\plop\Bureau\world_of_warcraft_patch_v2.3.0.7561_francais_180956.exe
c:\Documents and Settings\plop\Bureau\zaSetup_fr.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\plop\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\plop\Bureau\irql\rawrite.exe
c:\Documents and Settings\plop\Bureau\OpenOffice.org 2.4 (fr) Installation Files\instmsia.exe
c:\Documents and Settings\plop\Bureau\OpenOffice.org 2.4 (fr) Installation Files\instmsiw.exe
c:\Documents and Settings\plop\Bureau\OpenOffice.org 2.4 (fr) Installation Files\setup.exe
c:\Documents and Settings\plop\Bureau\wow et tout\3-PatchDK.exe
c:\Documents and Settings\plop\Bureau\wow et tout\world_of_warcraft_patch_v2.3.0.exe
c:\Documents and Settings\plop\Bureau\wow et tout\world_of_warcraft_mise_a_jour_depuis_v2.2.3.7359_francais_180956\Patches\WoW-2.2.3-to-2.3.0-frFR-Win-patch\BNUpdate.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\PatchDK.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WowCartoInstall107.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\installe\WoW-2.0.0-frFR-Installer\Installer.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\installe\WoW-2.0.0-frFR-Installer\DirectX\dxsetup.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\installe\WoW-BurningCrusade-frFR-Full-Installer\Installer.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-2.0.0-frFR-Installer\Installer.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-2.0.0-frFR-Installer\DirectX\dxsetup.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-BC-2.3.0-Full\0-WoW-frFR-Installer-downloader.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-BC-2.3.0-Full\1-WoW-BurningCrusade-frFR-Installer-downloader.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-BC-2.3.0-Full\2-world_of_warcraft_patch_v2.3.0.exe
c:\Documents and Settings\plop\Bureau\wow et tout\WOW\WoW-BC-2.3.0-Full\3-PatchDK.exe
c:\Documents and Settings\plop\Mes documents\cleartweak\ClearTweakSetup27.EXE
c:\Documents and Settings\plop\Mes documents\Jeux\wow installer\PatchDK.exe
c:\Documents and Settings\plop\Mes documents\Jeux\wow installer\world_of_warcraft_patch_v2.3.0.exe
c:\Documents and Settings\plop\Mes documents\Jeux\wow installer\WoW-2.0.0-frFR-Installer\Installer.exe
c:\Documents and Settings\plop\Mes documents\Jeux\wow installer\WoW-2.0.0-frFR-Installer\DirectX\dxsetup.exe
c:\Documents and Settings\plop\Mes documents\Jeux\wow installer\WoW-BurningCrusade-frFR-Full-Installer\Installer.exe
c:\Documents and Settings\plop\Mes documents\WoW-BurningCrusade-frFR-Slim-Installer\Installer.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\plop\Application Data\Mozilla\Firefox\Profiles\fheqzd7z.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_-PLOP-.tar.gz a l'adresse http://upload.malekal.com

si tu cherches une excuse pour supprimer le jeu , tu l'as toute trouvé ;))

mais pour l'instant rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SOUNDMAN.EXE
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Je ne pense pas que ce "SOUNDMAN" soit le même que celui télécharger, mais une application Realteck.
Ce qui me fais dire ça: j'ai supprimer le fichier de mon bureau dès que l'alerte à sonner.

Je post tout de même le rapport, on ne sait jamais:


Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier SoundMan.exe reçu le 2008.05.09 09:41:15 (CET)
Situation actuelle: terminé
Résultat: 0/31 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.09 -
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.08 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.08 -
ClamAV 0.92.1 2008.05.09 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.09 -
eTrust-Vet 31.4.5771 2008.05.08 -
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.08 -
F-Secure 6.70.13260.0 2008.05.09 -
Fortinet 3.14.0.0 2008.05.08 -
Ikarus T3.1.1.26.0 2008.05.09 -
Kaspersky 7.0.0.125 2008.05.09 -
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.09 -
NOD32v2 3087 2008.05.09 -
Norman 5.80.02 2008.05.08 -
Panda 9.0.0.4 2008.05.09 -
Prevx1 V2 2008.05.09 -
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.09 -
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.09 -
TheHacker 6.2.92.305 2008.05.08 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.08 -
Webwasher-Gateway 6.6.2 2008.05.09 -
Information additionnelle
File size: 577536 bytes
MD5...: 80fd4d46b0e9b620cf757a9a5c789329
SHA1..: 124b96501fc70da04c9046f5e2cea1bc7552aa08
SHA256: d0768d3982356b959b1e24b21bad846f037e9cb83c7aeb95cf836e4791832059
SHA512: e406d7c3dfe6f2c5bd3410d41ed186a5f064bba31526344c8ad48a5b5ab0bb8e
d0a460eb93266953af967bc981d62b0a172e65bae20b257336be38364b66f550
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40803a
timedatestamp.....: 0x46232595 (Mon Apr 16 07:28:21 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9e0a 0xa000 6.41 5b7d13dcb691b706c224edcb75306b41
.rdata 0xb000 0x1e14 0x2000 4.67 e262a51e18f5157e0dfb614e602eb35d
.data 0xd000 0x351c 0x2000 3.48 4d2e0beadc4f003171cb87f927263d95
.sxdata 0x11000 0x1c 0x1000 0.02 6e9b90dbda9cf6017a28fdc330d31d06
.rsrc 0x12000 0x7ce50 0x7d000 6.50 b86910e83bd9ef6aebbe5c4702eb50c1

( 8 imports )
> KERNEL32.dll: LocalFree, LocalAlloc, DeviceIoControl, GetStringTypeA, GetOEMCP, GetACP, InterlockedExchange, RtlUnwind, GetCPInfo, GetLocaleInfoA, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, WideCharToMultiByte, GetStdHandle, ExitProcess, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, VirtualProtect, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetStartupInfoA, GetProcessHeap, GetCommandLineA, HeapAlloc, HeapFree, MultiByteToWideChar, GetTempPathA, lstrcatA, GetFileAttributesA, LoadLibraryA, GetPrivateProfileStringA, FreeLibrary, FindResourceA, LoadResource, SizeofResource, LockResource, CreateProcessA, lstrcpyA, GetModuleHandleA, GetProcAddress, GetCurrentProcess, CreateFileA, WriteFile, lstrlenA, lstrcmpiA, GetTickCount, WaitForMultipleObjects, CloseHandle, SetEvent, WaitForSingleObject, SearchPathA, lstrcmpA, CreateMutexA, GetLastError, GetVersionExA, Sleep, WinExec, CreateEventA, CreateThread, GetModuleFileNameA, GetStringTypeW
> USER32.dll: InsertMenuItemA, DispatchMessageA, TranslateMessage, GetMessageA, RegisterWindowMessageA, ShowWindow, LoadStringA, LoadImageA, DialogBoxParamA, CharUpperA, IsDlgButtonChecked, EndDialog, GetParent, GetWindowRect, CopyRect, OffsetRect, SetWindowPos, CreateWindowExA, SystemParametersInfoA, GetDC, GetMenuCheckMarkDimensions, ReleaseDC, CreatePopupMenu, GetSysColor, GetCursorPos, TrackPopupMenu, DestroyMenu, PostQuitMessage, PostMessageA, SetForegroundWindow, DefWindowProcA, GetDesktopWindow, GetWindow, GetClassNameA, SendMessageA, LoadIconA, LoadCursorA, RegisterClassA
> GDI32.dll: CreateCompatibleDC, BitBlt, DeleteDC, CreatePen, MoveToEx, LineTo, CreateBrushIndirect, Rectangle, GetTextColor, SetTextColor, GetBkMode, SetBkMode, SetTextAlign, ExtTextOutA, CreateFontIndirectA, SelectObject, GetTextExtentPoint32A, DeleteObject, GetTextAlign
> ADVAPI32.dll: RegEnumKeyA, RegOpenKeyExA, RegDeleteValueA, RegCreateKeyA, RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyA
> SHELL32.dll: Shell_NotifyIconA
> SETUPAPI.dll: SetupDiSetClassInstallParamsA, SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiGetClassDevsA, SetupDiGetDeviceInstanceIdA, SetupDiEnumDeviceInfo, SetupDiCallClassInstaller
> WINMM.dll: mixerGetNumDevs, mixerSetControlDetails, mixerGetLineInfoA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerGetID, mixerGetDevCapsA, mixerOpen, mixerClose
> HID.DLL: HidD_FreePreparsedData, HidD_GetPreparsedData, HidD_GetAttributes, HidD_GetHidGuid, HidP_GetCaps

( 0 exports )
packers (Authentium): embedded

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Autre fichier
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com

Merci encore pour ta patience et ta rapidité.

oui, il y avait peu de chance que ce soit le même , et justement cela me chiffonnait car soudman n'est pas connu pour etre dangeureux.T a bien fait de virer l'autre

bon a pririo de toute façon elibaglia a fait son office ., il faut juste etre sur que le bagle ne se reactivera pas .

tu fais un scan en ligne,
Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.com/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

J'en avais fais un avant de poster, rien d'anormal à signaler.

Voici le rapport de cette fois ci:




BitDefender Online Scanner

Rapport d'analyse généré à: Sun, May 11, 2008 - 19:54:12
Voie d'analyse: C:\;D:\;E:\;

Statistiques

Temps
00:16:26

Fichiers
88555

Directoires
4074

Secteurs de boot
2

Archives
988

Paquets programmes
8559


Résultats

Virus identifiés
0

Fichiers infectés
0

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
0


Info sur les moteurs

Définition virus
1093136

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins
39

Unpack des plugins
7

E-mail plugins
6

Système plugins
1


Paramètres d'analyse

Première action

Désinfecté

Seconde Action

Supprimé

Heuristique

Oui

Acceptez les avertissements

Oui

Extensions analysées

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes

Oui

Analyse des fichiers

Oui

Analyse de boot

Oui



Fichier analysé

Statut

Aucun virus trouvé.

Est-ce que je dois/peux redémarrer mon PC pour voir si le processus apparait toujours au démarrage?

Est-ce que je dois/peux redémarrer mon PC pour voir si le processus apparait toujours au démarrage?

c'est exactement ça , et relance wow pour le reactiver et rescanne avec elibaglia nous sauront de suite si c'est reglé, sinon, il faudrat le virer.

à tout de suite

Redémarrage sans soucis. Voici le nouveau rapport elibagla:

Sun May 11 20:44:52 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun May 11 20:44:55 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3940
Nº Total de Ficheros: 31984
Nº de Ficheros Analizados: 7875
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Merci beaucoup pour tout.

Vu l'etat de ton pc , je pense que tu n'as plus besoin de moi sur ce coup là,
je vais diner .;))

bon surf , @+

Edit : si , il reste une chose à faire , c'est vidée la corbeille, et desactivé et reactivé lest points de restauration.

desactive les restauaration du systeme
demarrer->clic droit sur poste de travail puis propriété
dans l'onglet restauration du system coche desactiver la restauration du systeme, puis appliquer(en bas à droite)
puis decoche, desactiver la restauratiton du systeme, et appliquer

Ah...ça fait du bien de lire ça!
Merci pour tout, bonap' et bonne continuation =)