J'ai la chtouille ! Y'a t-il un toubib en ligne ?

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

Bonjour à tous

J'ai la chtouille ! Enfin pas moi, mon ordi... Mais c pareil vu que je fusionne avec mon doudounateur Wink

En clair j'ai choppé un virus qui lance des pop up dès que je suis sur le web IE ou Firefox. Le virus loade l'url cpvfeed. et zou c parti pour la déferlante de pop up. L'enfer ! Sad

Je découvre votre site avec plaisir, espérant y trouver le sauveur qui saura me sortir de cette fucking story qui me gave grave !

Voici le rapport Hitjackthis qui pourrait être utile d'après ce que j'ai pigé.

Je suis sous PC Windows XP

A votre dispo si besoin et merci mille fois de votre aide !

Bill Boquet

Logfile of HijackThis v1.99.1
Scan saved at 19:21:15, on 26/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\TEMP\VT770C.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\FeedReader30\feedreader.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\3M\PDNotes\PDNotes.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=3070227
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodeo.tv/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodeo.tv/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [feedreader.exe] "C:\Program Files\FeedReader30\feedreader.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Post-it(R) Digital Notes.lnk = C:\Program Files\3M\PDNotes\PDNotes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {988E213A-89C7-4C4E-B15F-5B7EDA2C34C0} (GenimoWebGames Control) - http://www.genimo.com/web_games/GenimoWebGamesControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lba.dom
O17 - HKLM\Software\..\Telephony: DomainName = lba.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lba.dom
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

naheulbeuk · Posté le: Lun Aôu 27, 2007 8:52 am Sujet du message:

bonjour,

suis cette procédure :
http://mickael.barroux.free.fr/securite/magic_control.php

et post moi les rapports Very Happy

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

naheulbeuk · Posté le: Mar Aôu 28, 2007 9:52 am Sujet du message:

coucou,

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré, le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

Very Happy

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

mille mercis de ton aide !

bon, si j'ai tout suivi et tout pigé, voilà le rapport de Diaghelp demandé
of course j'y pige que couick Wink

bonne lecture...
---

DiagHelp version v1.1.2 - http://www.malekal.com
excute le 29/08/2007 à 0:02:40,15

Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\core.sys -->15/05/2007 09:54:36
C:\WINDOWS\System32/drivers\core.cache.dsk -->15/05/2007 09:54:36
C:\WINDOWS\System32/drivers\pxhelp20.sys -->02/05/2007 20:04:15
C:\WINDOWS\System32/drivers\cdralw2k.sys -->02/05/2007 20:04:15
C:\WINDOWS\System32/drivers\cdr4_xp.sys -->02/05/2007 20:04:15
C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:32:54
C:\WINDOWS\System32/drivers\AWRTPD.sys -->05/03/2007 22:38:54

C:\WINDOWS\System32\PerfStringBackup.INI -->24/08/2007 09:09:55
C:\WINDOWS\System32\perfh00C.dat -->24/08/2007 09:09:55
C:\WINDOWS\System32\perfh009.dat -->24/08/2007 09:09:55
C:\WINDOWS\System32\perfc00C.dat -->24/08/2007 09:09:55
C:\WINDOWS\System32\perfc009.dat -->24/08/2007 09:09:55
C:\WINDOWS\System32\FNTCACHE.DAT -->22/08/2007 14:44:38
C:\WINDOWS\System32\wpa.dbl -->18/08/2007 11:47:15
C:\WINDOWS\System32\MRT.exe -->03/08/2007 06:34:10
C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06
C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52
C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42
C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36
C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32
C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28
C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28
C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20
C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16
C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12
C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04
C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48
C:\WINDOWS\System32\wups.dll -->30/07/2007 19:18:40
C:\WINDOWS\System32\mshtml.dll -->19/07/2007 08:58:09
C:\WINDOWS\System32\QuickTimeVR.qtx -->29/06/2007 06:24:58
C:\WINDOWS\System32\QuickTime.qts -->29/06/2007 06:24:58
C:\WINDOWS\System32\wininet.dll -->27/06/2007 15:24:19

C:\WINDOWS\WindowsUpdate.log -->28/08/2007 23:37:54
C:\WINDOWS\QTFont.qfn -->28/08/2007 23:37:49
C:\WINDOWS\0.log -->28/08/2007 23:36:54
C:\WINDOWS\wiadebug.log -->28/08/2007 23:36:48
C:\WINDOWS\wiaservc.log -->28/08/2007 23:36:47
C:\WINDOWS\bootstat.dat -->28/08/2007 23:36:42
C:\WINDOWS\SchedLgU.Txt -->28/08/2007 23:36:02
C:\WINDOWS\win.ini -->28/08/2007 17:25:03
C:\WINDOWS\setupapi.log -->24/08/2007 10:06:10
C:\WINDOWS\cfgall.ini -->20/08/2007 10:11:18
C:\WINDOWS\spupdsvc.log -->20/08/2007 10:02:51
C:\WINDOWS\tsoc.log -->19/08/2007 23:18:25
C:\WINDOWS\tabletoc.log -->19/08/2007 23:18:25
C:\WINDOWS\ocmsn.log -->19/08/2007 23:18:25
C:\WINDOWS\ntdtcsetup.log -->19/08/2007 23:18:25

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\WINDOWS\system32

05/08/2004 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 76 186 558 464 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\WINDOWS\Downloaded Program Files

16/06/2007 10:32 <REP> .
16/06/2007 10:32 <REP> ..
19/08/2004 15:16 65 desktop.ini
25/07/2002 20:13 24 576 dwusplay.dll
25/07/2002 20:13 196 608 dwusplay.exe
06/12/2006 17:27 1 249 erma.inf
05/04/2007 22:21 260 GenimoWebGamesControl.inf
05/04/2007 22:27 355 192 GenimoWebGamesControl.ocx
27/07/2004 18:48 323 584 isusweb.dll
11/12/2006 17:44 367 LegitCheckControl.inf
04/12/2006 16:16 144 QTPlugin.inf
14/02/2007 16:30 144 setup.inf
10 fichier(s) 902 189 octets

Total des fichiers listés :
10 fichier(s) 902 189 octets
2 Rép(s) 76 186 558 464 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-29 00:02:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B4B6B73C-C467-9F86-FBE1-DC275B6FD980}]
"bbfkkkeighoeibodclkcdemgmpjacjfbdlca"=hex:6a,61,62,61,70,64,6b,6d,6c,6f,68,6f,6f,6e,65,68,6e,70,65,6e,00,..
"abpmmhaggbhkjedmlbcfoaoaiokkpllfpe"=hex:6a,61,62,61,67,65,62,6e,6b,64,6e,69,6e,69,6e,6a,6d,70,66,69,00,..
"iafkkkeighoeibodcl"=hex:61,61,00,01
"hapmmhaggbhkjedm"=hex:61,61,00,01
"iabklfilmkgelgmilo"=hex:61,61,00,01
"bbfkkkeighoeibodclkcdemgmpjabjkkboon"=hex:6a,61,62,61,70,64,6b,6d,6c,6f,68,6f,6f,6e,65,68,6e,70,65,6e,00,..
"abpmmhaggbhkjedmlbcfoaoaionkmelnmo"=hex:6a,61,62,61,67,65,62,6e,6b,64,6e,69,6e,69,6e,6a,6d,70,66,69,00,..
"bbfkkkeighoeibodclkcndobkdfmigcjolem"=hex:6a,61,62,61,67,65,62,6e,6b,64,6e,69,6e,69,6e,6a,6d,70,66,69,00,..
"abpmmhaggbhkjedmlbafacdcbaiijpkbdg"=hex:6a,61,62,61,67,65,62,6e,6b,64,6e,69,6e,69,6e,6a,6d,70,66,69,00,..

scanning hidden files ...

scan completed successfully
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
164 - NTRtScan.exe
336 - svchost.exe
404 - TmListen.exe
556 - OfcPfwSvc.exe
704 - CALMAIN.exe
828 - csrss.exe
852 - winlogon.exe
896 - services.exe
908 - lsass.exe
1004 - iexplore.exe
1120 - svchost.exe
1192 - svchost.exe
1232 - svchost.exe
1288 - EvtEng.exe
1308 - GW4D0C.EXE
1352 - S24EvMon.exe
1372 - WLKEEPER.exe
1496 - iPodService.exe
1528 - svchost.exe
1572 - svchost.exe
1772 - spoolsv.exe
1880 - aawservice.exe
1936 - AppleMobileDevi
1952 - guard.exe
2028 - MDM.EXE
2108 - Dot1XCfg.exe
2320 - explorer.exe
2592 - Apoint.exe
2652 - ZCfgSvc.exe
2672 - iFrmewrk.exe
2684 - GoogleDesktop.e
2720 - PccNTMon.exe
2792 - realsched.exe
2800 - iTunesHelper.ex
2820 - feedreader.exe
2872 - ctfmon.exe
2892 - GoogleToolbarNo
2940 - hidfind.exe
2948 - ApntEx.exe
3048 - PDNotes.exe
3096 - GoogleDesktop.e
3252 - cmd.exe

Total number of processes = 43
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BA5A8000 - \WINDOWS\system32\KDCOM.DLL
BA4B8000 - \WINDOWS\system32\BOOTVID.dll
B9F78000 - ACPI.sys
BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
B9F67000 - pci.sys
BA0A8000 - isapnp.sys
BA4BC000 - compbatt.sys
BA4C0000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
BA670000 - pciide.sys
BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
B9F49000 - pcmcia.sys
BA0B8000 - MountMgr.sys
B9F2A000 - ftdisk.sys
B9F04000 - dmio.sys
BA330000 - PartMgr.sys
BA0C8000 - VolSnap.sys
B9EEC000 - atapi.sys
BA0D8000 - disk.sys
BA0E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
B9ECC000 - fltMgr.sys
B9EBA000 - sr.sys
B9EA4000 - DRVMCDB.SYS
BA0F8000 - PxHelp20.sys
B9E8D000 - KSecDD.sys
B9E00000 - Ntfs.sys
B9DD3000 - NDIS.sys
BA108000 - ohci1394.sys
BA118000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
B9DB8000 - Mup.sys
BA168000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BA238000 - \SystemRoot\system32\DRIVERS\intelppm.sys
BA568000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
BA56C000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
B9C11000 - \SystemRoot\system32\DRIVERS\ialmnt5.sys
B9BFD000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B9BD7000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
B9A35000 - \SystemRoot\system32\DRIVERS\NETw3x32.sys
BA3A0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9A12000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA3A8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
BA248000 - \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
BA258000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
B99F7000 - \SystemRoot\system32\DRIVERS\Apfiltr.sys
BA3B0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BA3B8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B99E6000 - \SystemRoot\system32\DRIVERS\serial.sys
BA574000 - \SystemRoot\system32\DRIVERS\serenum.sys
BA268000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA5C0000 - \SystemRoot\System32\Drivers\DLACDBHM.SYS
BA278000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA288000 - \SystemRoot\system32\DRIVERS\redbook.sys
B99C3000 - \SystemRoot\system32\DRIVERS\ks.sys
BA3C0000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
BA7BB000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA298000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA57C000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9984000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA2A8000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA2B8000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BA3C8000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B9973000 - \SystemRoot\system32\DRIVERS\psched.sys
BA2C8000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BA3D0000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BA3D8000 - \SystemRoot\system32\DRIVERS\raspti.sys
B9942000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BA2D8000 - \SystemRoot\system32\DRIVERS\termdd.sys
BA5C2000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9821000 - \SystemRoot\system32\DRIVERS\update.sys
BA5A4000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BA2E8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
A959F000 - \SystemRoot\system32\drivers\sthda.sys
A957D000 - \SystemRoot\system32\drivers\portcls.sys
BA308000 - \SystemRoot\system32\drivers\drmk.sys
A9543000 - \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
A944C000 - \SystemRoot\system32\DRIVERS\HSX_DPV.sys
A9396000 - \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
BA3E0000 - \SystemRoot\System32\Drivers\Modem.SYS
BA148000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BA5CE000 - \SystemRoot\system32\DRIVERS\USBD.SYS
BA5D0000 - \SystemRoot\System32\Drivers\i2omgmt.SYS
BA5D2000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BA73D000 - \SystemRoot\System32\Drivers\Null.SYS
BA5D4000 - \SystemRoot\System32\Drivers\Beep.SYS
BA3F0000 - \SystemRoot\System32\Drivers\DLARTL_N.SYS
BA73E000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
BA3F8000 - \SystemRoot\System32\drivers\vga.sys
BA5D6000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BA5D8000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BA400000 - \SystemRoot\System32\Drivers\Msfs.SYS
BA408000 - \SystemRoot\System32\Drivers\Npfs.SYS
BA554000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A933B000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A92E3000 - \SystemRoot\system32\DRIVERS\tcpip.sys
A92BB000 - \SystemRoot\system32\DRIVERS\netbt.sys
A929A000 - \SystemRoot\system32\DRIVERS\ipnat.sys
A9278000 - \SystemRoot\System32\drivers\afd.sys
BA158000 - \SystemRoot\system32\DRIVERS\netbios.sys
A924D000 - \SystemRoot\system32\DRIVERS\rdbss.sys
BA178000 - \SystemRoot\system32\DRIVERS\wanarp.sys
A91DE000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BA188000 - \SystemRoot\system32\DRIVERS\arp1394.sys
BA198000 - \SystemRoot\System32\Drivers\Fips.SYS
A91A4000 - \SystemRoot\system32\drivers\core.sys
BA79C000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
BA1B8000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A918C000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BA5DA000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B99A3000 - \SystemRoot\System32\drivers\Dxapi.sys
BA418000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
BA7BF000 - \SystemRoot\System32\drivers\dxgthk.sys
BF020000 - \SystemRoot\System32\ialmdnt5.dll
BF012000 - \SystemRoot\System32\ialmrnt5.dll
BF042000 - \SystemRoot\System32\ialmdev5.DLL
BF077000 - \SystemRoot\System32\ialmdd5.DLL
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
B987A000 - \??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys
A8F62000 - \??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys
A8EF8000 - \??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys
BA138000 - \SystemRoot\System32\Drivers\DRVNDDM.SYS
BA743000 - \SystemRoot\System32\DLA\DLADResN.SYS
A8EE2000 - \SystemRoot\System32\DLA\DLAIFS_M.SYS
A90BC000 - \SystemRoot\System32\DLA\DLAOPIOM.SYS
BA5DE000 - \SystemRoot\System32\DLA\DLAPoolM.SYS
BA430000 - \SystemRoot\System32\DLA\DLABOIOM.SYS
A8EA2000 - \SystemRoot\System32\DLA\DLAUDFAM.SYS
A8E8C000 - \SystemRoot\System32\DLA\DLAUDF_M.SYS
BA448000 - \SystemRoot\system32\DRIVERS\AegisP.sys
A8F3A000 - \SystemRoot\system32\DRIVERS\s24trans.sys
A9088000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A8B8F000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
A8AD6000 - \SystemRoot\System32\Drivers\HTTP.sys
A8B7B000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
A89BC000 - \SystemRoot\system32\DRIVERS\srv.sys
A851F000 - \SystemRoot\system32\drivers\wdmaud.sys
A85DC000 - \SystemRoot\system32\drivers\sysaudio.sys
A7AD3000 - \SystemRoot\system32\drivers\kmixer.sys
A7D62000 - \SystemRoot\system32\DRIVERS\asyncmac.sys
BA724000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 142

Liste des programmes installes

1&1 Connexion directe
Ad-Aware 2007 Beta
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 9
Adobe Help Center 1.0
Adobe Photoshop CS2
Adobe Photoshop CS2
Adobe Reader 7.0.9 - Français
Adobe Shockwave Player
Adobe Stock Photos 1.0
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
ASIO4ALL
AutoUpdate
AVG Anti-Spyware 7.5
Babelgum 0.9.0.2552
Broadcom Management Programs
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
CCleaner (remove only)
Collab
Conexant HDA D110 MDC V.92 Modem
Correctif pour Windows XP (KB896256)
Correctif pour Windows XP (KB908673)
Correctif pour Windows XP (KB909095)
Correctif pour Windows XP (KB914440)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB885855
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB889673
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Deckadance
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
Duplicate Email Remover
FeedReader
FileZilla (remove only)
FL Studio 7
Google Desktop
Google Earth
Google Toolbar for Internet Explorer
High Definition Audio Driver Package - KB835221
HijackThis 1.99.1
Hijackthis Version Française 1.99.0.1
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
IL Download Manager
Intel(R) Graphics Media Accelerator Driver
iTunes
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Jardinage, passion & pratique
Java(TM) SE Runtime Environment 6 Update 1
Lecteur Windows Media 11
LimeWire PRO 4.12.11
Logiciel Intel(R) PROSet/Wireless
Macromedia Dreamweaver 8
Macromedia Extension Manager
Macromedia Flash 8
Macromedia Flash 8 Video Encoder
Macromedia Flash Player 8
Macromedia Flash Player 8 Plugin
Magnifier 1.1b
mCore
mDrWiFi
mHlpDell
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Small Business Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB904942)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB912945)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
mIWA
mLogView
mMHouse
Mouse Suite for Laptop Computers
Mozilla Firefox (2.0.0.4)
Mozilla Thunderbird (2.0.0.0)
mPfMgr
mPfWiz
mProSafe
mSSO
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
mWlsSafe
mWMI
mXML
mZConfig
Navilog1 Version 2.0.9
Post-it® Digital Notes
PowerDVD 5.7
QuickTime
RealPlayer
Roxio DLA
Roxio Express Labeler
Roxio RecordNow Audio
Roxio RecordNow Copy
Roxio RecordNow Data
Security Update pour Microsoft .NET Framework 2.0 (KB928365)
Sonic Update Manager
Spybot - Search & Destroy 1.4
Trend Micro OfficeScan Client
VideoLAN VLC media player 0.8.6c
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
WW2 Pacific Heroes

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\Program Files

28/08/2007 12:35 <REP> .
28/08/2007 12:35 <REP> ..
13/05/2007 14:55 <REP> 1&1
22/08/2007 11:42 <REP> 3M
08/07/2007 20:40 <REP> Adobe
27/02/2007 14:44 <REP> Apoint
20/03/2007 13:28 <REP> Apple Software Update
31/03/2007 14:25 <REP> ASIO4ALL v2
17/06/2007 21:14 <REP> Babelgum
27/02/2007 15:08 <REP> BAE
27/02/2007 15:04 <REP> Broadcom
05/04/2007 22:51 <REP> Canon
12/07/2007 14:46 <REP> CCleaner
19/08/2004 15:15 <REP> ComPlus Applications
27/02/2007 15:01 <REP> CONEXANT
27/02/2007 15:02 <REP> CyberLink
05/03/2007 19:57 <REP> Dell
11/05/2007 23:05 <REP> DivX
21/05/2007 15:59 <REP> FeedReader30
19/08/2007 19:51 <REP> Fichiers communs
17/03/2007 10:50 <REP> FileZilla
21/07/2007 23:02 <REP> Google
21/05/2007 15:09 <REP> Grisoft
26/08/2007 19:22 <REP> Hijackthis Version Française
31/03/2007 14:36 <REP> Image-Line
27/02/2007 15:03 <REP> Intel
27/02/2007 15:04 <REP> Intel, Inc
19/08/2007 23:16 <REP> Internet Explorer
28/08/2007 12:35 <REP> iPod
28/08/2007 12:35 <REP> iTunes
26/04/2007 10:14 <REP> Java
03/05/2007 22:54 <REP> La barre LCI
20/05/2007 23:30 <REP> Lavasoft
08/03/2007 14:41 <REP> LimeWire
24/03/2007 15:02 <REP> Macromedia
19/08/2007 19:51 <REP> MAPILab Ltd
27/02/2007 14:58 <REP> Messenger
19/08/2004 15:18 <REP> microsoft frontpage
27/02/2007 15:06 <REP> Microsoft Office
27/02/2007 15:06 <REP> Microsoft Visual Studio
27/02/2007 15:09 <REP> Microsoft Works
27/02/2007 15:06 <REP> Microsoft.NET
13/05/2007 18:42 <REP> Montparnasse Multimedia
19/08/2004 15:16 <REP> Movie Maker
04/07/2007 19:15 <REP> Mozilla Firefox
19/08/2007 19:10 <REP> Mozilla Thunderbird
19/08/2004 15:14 <REP> MSN
19/08/2004 15:14 <REP> MSN Gaming Zone
05/03/2007 20:10 <REP> MSXML 4.0
27/08/2007 23:24 <REP> Navilog1
19/08/2004 15:16 <REP> NetMeeting
19/08/2004 15:15 <REP> Online Services
14/06/2007 09:12 <REP> Outlook Express
16/06/2007 17:17 <REP> Pacific Heroes
24/07/2007 12:53 <REP> QuickTime
10/05/2007 18:53 <REP> Real
16/06/2007 17:14 <REP> ReflexiveArcade
27/02/2007 15:07 <REP> Roxio
19/08/2004 15:16 <REP> Services en ligne
27/02/2007 15:01 <REP> Sigmatel
27/02/2007 15:07 <REP> Sonic
12/07/2007 15:21 <REP> Spybot - Search & Destroy
05/03/2007 20:20 <REP> Trend Micro
02/04/2007 20:48 <REP> VideoLAN
31/03/2007 14:36 <REP> VstPlugins
07/03/2007 23:42 <REP> Windows Media Connect 2
07/03/2007 23:42 <REP> Windows Media Player
19/08/2004 15:14 <REP> Windows NT
11/03/2007 09:18 <REP> WinRAR
19/08/2004 15:18 <REP> xerox
12/07/2007 15:18 <REP> XoftSpySE
06/03/2007 23:41 <REP> Yahoo!
17/05/2007 08:45 <REP> ?icrosoft
0 fichier(s) 0 octets
73 Rép(s) 76 186 214 400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\Program Files\fichiers communs

19/08/2007 19:51 <REP> .
19/08/2007 19:51 <REP> ..
06/03/2007 16:22 <REP> Adobe
08/07/2007 20:28 <REP> Adobe Systems Shared
30/06/2007 13:39 <REP> Apple
05/04/2007 22:50 <REP> Canon
27/02/2007 15:06 <REP> DESIGNER
24/03/2007 14:53 <REP> InstallShield
27/02/2007 14:57 <REP> Java
24/03/2007 15:02 <REP> Macromedia
19/08/2007 19:51 <REP> MAPILab Ltd
27/02/2007 15:09 <REP> Microsoft Shared
19/08/2004 15:16 <REP> MSSoap
19/08/2004 15:10 <REP> ODBC
10/05/2007 18:54 <REP> Real
19/08/2004 15:16 <REP> Services
27/02/2007 15:07 <REP> Sonic Shared
19/08/2004 15:10 <REP> SpeechEngines
27/02/2007 15:07 <REP> SureThing Shared
14/06/2007 09:12 <REP> System
10/05/2007 18:54 <REP> xing shared
0 fichier(s) 0 octets
21 Rép(s) 76 186 210 304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

27/02/2007 15:06 <REP> .
27/02/2007 15:06 <REP> ..
27/02/2007 15:06 <REP> 1033
27/02/2007 15:06 <REP> 1036
11/07/2003 12:15 1 292 872 MSONSEXT.DLL
15/07/2003 08:52 35 896 MSOSV.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
11/07/2003 04:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 76 186 210 304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 487A-98FD

Répertoire de C:\

12/05/2007 18:22 68 096 diff.exe
12/05/2007 18:22 103 424 grep.exe
2 fichier(s) 171 520 octets
0 Rép(s) 76 186 210 304 octets libres
c:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Google Desktop\1b86cdfe11a6\downloaded_gadgets\Magnifier.exe
c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.3.2.6\iTunesSetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\Genimo\WebGames\GenimoArcade\ButterflyEscape\ButterflyEscape.exe
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CYDQKP0J\iTunesSetupAdmin[1].exe
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SX0N2GJ4\iTunesSetupAdmin[1].exe
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z5MHWP0F\iTunesSetupAdmin[1].exe
c:\Documents and Settings\Nicolas.LBA\.housecall6.6\getMac.exe
c:\Documents and Settings\Nicolas.LBA\.housecall6.6\patch.exe
c:\Documents and Settings\Nicolas.LBA\.housecall6.6\tsc.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\LimeWire\.NetworkShare\LimeWireWin4.12.15.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{25081482-E242-4FE3-B552-FDC8BA88C90E}\Icon25081482.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{25081482-E242-4FE3-B552-FDC8BA88C90E}\Icon250814822.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{25081482-E242-4FE3-B552-FDC8BA88C90E}\Icon250814823.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\ARPPRODUCTICON.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{7AA36634-4324-4EF4-8C0C-D8EF1FC2BEA4}\ARPPRODUCTICON.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{7AA36634-4324-4EF4-8C0C-D8EF1FC2BEA4}\license.rtf_7AA3663443244EF48C0CD8EF1FC2BEA4.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{7AA36634-4324-4EF4-8C0C-D8EF1FC2BEA4}\msodrems.chm_7AA3663443244EF48C0CD8EF1FC2BEA4.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{7AA36634-4324-4EF4-8C0C-D8EF1FC2BEA4}\NewShortcut1_7AA3663443244EF48C0CD8EF1FC2BEA4.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{885A63EA-382B-4DD4-A755-14809B8557D6}\ARPPRODUCTICON.exe
c:\Documents and Settings\Nicolas.LBA\Application Data\Microsoft\Installer\{91057632-CA70-413C-B628-2D3CDBBB906B}\ARPPRODUCTICON.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\ConquerAntarctica.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\Fireworks8-fr.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\Google_Earth_BZXE.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\Adobe.PhotoShop.CS2.KeyGen-PANTHEON\keygen.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\Downloads\PDNInstallTrial582.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\duplicate_remover\setup.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\FRUITY LOOPS\flstudio7_RC6b.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\installeurs\Dreamweaver8-fr.exe
c:\Documents and Settings\Nicolas.LBA\Bureau\installeurs\Flash8-fr.exe
c:\Documents and Settings\Nicolas.LBA\Local Settings\Temp\Setup.exe
c:\Documents and Settings\Nicolas.LBA\Local Settings\Temp\Stp3D_TMP.EXE
c:\Documents and Settings\Nicolas.LBA\Local Settings\Temp\Stp46_TMP.EXE
c:\Documents and Settings\Nicolas.LBA\Local Settings\Temporary Internet Files\Content.IE5\5GBJC5WU\Navilog1[1].exe
c:\Documents and Settings\Nicolas.LBA\Local Settings\Temporary Internet Files\Content.IE5\HG19F3J1\HIJACKTHIS%20VF[1].exe
c:\Documents and Settings\Nicolas.LBA\Mes documents\Updater\photoshop9-fr_FR-LIC\CameraRaw3.6Updater1.exe
c:\Documents and Settings\All Users\Application Data\Genimo\WebGames\GenimoArcade\ButterflyEscape\ButterflyEscape.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\Nicolas.LBA\Application Data\Macromedia\Dreamweaver 8\Configuration\Flash Player\FlashPlayerW.dll
c:\Documents and Settings\Nicolas.LBA\Application Data\Mozilla\Firefox\Profiles\fx52hq94.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Nicolas.LBA\Application Data\Mozilla\Firefox\Profiles\fx52hq94.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\Nicolas.LBA\Local Settings\Application Data\Macromedia\Flash 8\fr\Configuration\External Libraries\FLfile.dll

****** Fin du rapport DiagHelp

naheulbeuk · Posté le: Mer Aôu 29, 2007 8:57 am Sujet du message:

bonjour,

fais ceci dans l'ordre et en entier :

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

Bjr,

OK, j'ai tout fait jusque là... (en rouge), mais j'ai une embûche sur le parcours...

naheulbeuk · Posté le: Mer Aôu 29, 2007 1:12 pm Sujet du message:

c'est juste une erreur comme quoi il peut pas créer le rapport, mais le fichier a bien été supprimé Wink

continue la procédure Very Happy

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

ok chef, sauf que je ne trouve pas le fichier demandé :
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

rien de ce nom à cet emplacement
sur "otmoveit" la recherche ne trouve que
OTMoveIt.exe
OTMOVEIT.EXE-226019AC.pf

pas de dossier "OTMoveIt\MovedFiles. "

Sad

naheulbeuk · Posté le: Mer Aôu 29, 2007 1:41 pm Sujet du message:

c'est normal puisqu'il n'a pas pu créer le rapport Wink

continue avec clean Very Happy

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

ben c que je suis bon élève moi... je suis tout à la lettre Wink

ok je poursuis avec clean

5's

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

ayé, mais rien de très intéressant a priori...
voilà le rapport de clean
ayé, mais rien de très intéressant a priori...
voilà le rapport de clean :
---

29/08/2007 a 14:50:20,35

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

naheulbeuk · Posté le: Mer Aôu 29, 2007 3:37 pm Sujet du message:

rien à se mettre sous la dent Confused

Télécharge ComboFix (créé par sUBs) sur ton Bureau

Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html

Guide d'utilisation de ComboFix : http://mickael.barroux.free.fr/securite/combofix.php

[*] Double clique combofix.exe.
[*] Tape sur la touche Y (Yes) pour démarrer le scan.
[*] ComboFix redémarrera ton PC
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Very Happy

billboquet · Inscrit le: 26 Aôu 2007 Messages: 9 Localisation: france

Bon me voilà de retour après qq péripéties : j'ai redémarré en mode sans échec via la commande éxécuter et du coup je ne pouvais plus redémarrer en mode normal. Comme quoi mieux vaut utiliser la touche F8... Deux infos :
1. Ci dessous le rapport de combofix
2. Bonne nouvell !!!! Je n'y comprends rien mais me voilà guéri, je n'ai plus de pop up invasives ! Je n'ai pourtant que scanné mon pc si j'ai bien pigé et n'ai encore éxécuté aucune manip de nettoyage... Est-ce que le redémarrage en mode sans échec aurait eu une incidence ? J'y pige que couik mais en tout cas v'la mon doudounateur qui se porte mieux. En tout cas côté navigateur.
Pour le reste j'ai l'impression qu'il tourne un peu au ralenti, mais p'tet n'est-ce qu'une impression.

Or donc voilà le rapport de combofix, ton avis sur cette guérison ?
a+ merci

ComboFix 07-08-30.1 - "Administrateur" 2007-08-29 22:28:35.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1792 [GMT 2:00]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Program Files\icroso~1
C:\temp\tn3
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys
C:\WINDOWS\wr.txt

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_CORE
-------\core
-------\poof

((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))

2007-08-29 22:27 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-29 00:04 853 --a------ C:\reboot.cmd
2007-08-29 00:04 68,096 --a------ C:\diff.exe
2007-08-29 00:04 103,424 --a------ C:\grep.exe
2007-08-28 12:35 <REP> d-------- C:\Program Files\iTunes
2007-08-28 12:35 <REP> d-------- C:\Program Files\iPod
2007-08-26 19:20 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-22 11:42 <REP> d-------- C:\Program Files\3M
2007-08-22 11:25 <REP> d-------- C:\Temp
2007-08-19 19:51 <REP> d-------- C:\Program Files\MAPILab Ltd
2007-08-19 19:51 <REP> d-------- C:\Program Files\Fichiers communs\MAPILab Ltd
2007-07-12 15:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-12 15:01 <REP> d-------- C:\Program Files\XoftSpySE
2007-07-12 14:54 <REP> d-------- C:\WINDOWS\pss
2007-07-12 14:46 <REP> d-------- C:\Program Files\CCleaner
2007-07-12 14:35 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-12 14:34 <REP> d-------- C:\Program Files\Navilog1
2007-07-12 14:33 <REP> d-------- C:\VundoFix Backups
2007-07-08 20:28 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-22 11:42 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-19 19:10 --------- d-------- C:\Program Files\Mozilla Thunderbird
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-24 12:53 --------- d-------- C:\Program Files\QuickTime
2007-07-21 23:02 --------- d-------- C:\Program Files\Google
2007-07-19 08:58 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-30 13:39 --------- d-------- C:\Program Files\Fichiers communs\Apple
2007-06-30 13:39 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-06-27 15:24 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --------- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --------- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --------- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153