Voici mon log...
 
Problème de mise à jour qui veut éteindre le pc, msn processus présent mais invisible impossible à décoller...et processus manquand dans le gestionnaire des tâches...
 
nettoyage fait antivirus ccleaner spybot ad aware etc etc....rien n'y fait
 
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:39, on 2007-12-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\No-IP\DUC20.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\No-IP\DUC20.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\logon.scr
C:\Program Files\Security Task Manager\TaskMan.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par L30M
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Powermarks - {E166B4A2-83E7-11D3-B4FD-004005A47AAA} - C:\PROGRA~1\POWERM~1.5\iec.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.cyberpresse.ca/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71D3F6CB-C4F7-4F09-8A20-8B7612E2DE42}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{71D3F6CB-C4F7-4F09-8A20-8B7612E2DE42}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{71D3F6CB-C4F7-4F09-8A20-8B7612E2DE42}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: cmdndl - cmdndl.dll (file missing)
O20 - Winlogon Notify: iifgdbx - iifgdbx.dll (file missing)
O20 - Winlogon Notify: khfcccc - khfcccc.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\No-IP\DUC20.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
 
--
End of file - 6183 bytes

Bonjour
 
 
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
 
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.  
 
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.

Combofix se bloque j,ai tenté plusieurs fois....

Reste bloqué à deleting files et folders aucun rapport produit...

Re
 
Je ne vois pas d'antivirus. Lequel est-il ?

J'utilise avg et avast que j'ai présentement désinstallé...

C'est donc le moment de prendre l'antivirus gratuit actuellement le plus performant.
 
Télécharge Antivir
http://www.free-av.com
et son tutorial d'installation
http://speedweb1.free.fr/frames2.php?page=tuto5  
 
Fais un scan et poste son rapport.

 
AntiVir PersonalEdition Classic
Report file date: 2007-12-15  16:32
 
Scanning for 972845 virus strains and unwanted programs.
 
Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    SIM
 
Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 19:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 18:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 21:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 18:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 21:27:03
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  2007-12-14 21:27:03
ANTIVIR2.VDF : 7.0.1.96       2048 Bytes  2007-12-14 21:27:03
ANTIVIR3.VDF : 7.0.1.98       4096 Bytes  2007-12-14 21:27:03
AVEWIN32.DLL : 7.6.0.45    3084800 Bytes  2007-12-15 21:27:04
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 16:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 13:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 19:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  2007-08-03 14:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 13:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 18:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 13:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 17:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 18:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 18:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 15:37:21
 
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,  
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,  
Macro heuristic..................: on
File heuristic...................: medium
 
Start of the scan: 2007-12-15  16:32
 
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'update.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'mscorsvw.exe' - '1' Module(s) have been scanned
Scan process 'inetinfo.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'oodag.exe' - '1' Module(s) have been scanned
Scan process 'DUC20.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'DUC20.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned
 
Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!
 
Starting to scan the registry.
The registry was scanned ( '20' files ).
 
 
Starting the file scan:
 
Begin scan in 'C:\' <Disque local>
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Netpumper.zip
      [DETECTION] Contains suspicious code GEN/PwdZIP
      [INFO]      The file was moved to '47d84eb9.qua'!
Begin scan in 'D:\' <BEBELLES>
Begin scan in 'E:\' <MUSIQUE>
Begin scan in 'F:\' <FILMS>
F:\Emule\Download\Ethereal + Winpcap Sniffer updated-fixed 09-2007.rar
  [0] Archive type: RAR
  --> setup.exe
      [DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
      [INFO]      The file was moved to '47cc5985.qua'!
F:\Emule\Download\Pc App Enfocus Pitstop Pro 7.0 En.rar
  [0] Archive type: RAR
  --> PitStop Pro crack.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
      [INFO]      The file was moved to '478459a5.qua'!
F:\Emule\Temp\049.part
      [DETECTION] Contains detection pattern of the worm WORM/Bagle.HE
      [INFO]      The file was moved to '479d59be.qua'!
F:\Progs\NetLimiter.2.PRO.SERIAL.INCLUDED.zip
  [0] Archive type: ZIP
    --> NetLimiter.2.PRO.SERIAL.INCLUDED.rar
      [1] Archive type: RAR
      --> keygen.exe
          [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [INFO]      The file was moved to '47d85a16.qua'!
F:\Progs\NetLimiter.2.PRO.SERIAL.INCLUDED\NetLimiter.2.PRO.SERIAL.INCLUDED.rar
  [0] Archive type: RAR
  --> keygen.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [INFO]      The file was moved to '47d85ac0.qua'!
 
 
End of the scan: 2007-12-15  17:54
Used time:  1:22:31 min
 
The scan has been done completely.
 
   6206 Scanning directories
 400567 Files were scanned
      5 viruses and/or unwanted programs were found
      1 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      6 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 400562 Files not concerned
   1980 Archives were scanned
      1 Warnings
     31 Notes
 

Il a supprimé deux cracks ...
 
Recommence le scan avec Combofix.
Si cela coince encore, fais le en mode sans échec.

Je sais et je doute qu'ils soient en cause...ils sont là depuis longtemps sans que j'aie eu de problèmes...
 
combofix réussi
mais ne produit pas de rapport...ou plutôt celui ci se limite à cela:
 
ComboFix 07-12-15.5 - Administrateur 2007-12-15 18:23:34.10 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.407 [GMT -5:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.
 
 
 

Bonjour
 
On change d'outil.
 
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
 
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown" ); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

J'avais déjà fait vundofix plusieurs fois sans succès...
 
Il n'y a donc pas de rapport créé...j'ai aussi fait smitfraud fix, look2me, msnfix....
 
Combofix a un problème je crois quand il s'exécute sur ma machine, il semble fonctionner mais il ne me sort pas de log comme il le faut. Sur une autre machine il fait son log pourtant...

Re
 
On change.
 
Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau  
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout  
- Un nouveau dossier chercher va être créé DiagHelp  
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)  
- Une fenêtre va s'ouvrir, choisis l'option 1  
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande  
 
ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !
 
- A la fin de l'analyse, il te sera peut-être demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :  
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout  
-- A nouveau menu Edition / copier  
-- Dans un nouveau message ici, faire un clic droit / coller

DiagHelp version v1.4 - http://www.malekal.com
excute le 2007-12-16 à 19:44:37.20  
 
 
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch  
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->2007-12-16 19:44:34
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->2007-12-16 19:44:32
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->2007-12-16 19:44:04
C:\WINDOWS\prefetch\NMBGMONITOR.EXE-241A04E8.pf -->2007-12-16 19:43:25
C:\WINDOWS\prefetch\NMINDEXSTORESVR.EXE-22A7DEEF.pf -->2007-12-16 19:43:24
C:\WINDOWS\prefetch\AVSCAN.EXE-1E0AD9ED.pf -->2007-12-16 19:42:05
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->2007-12-16 19:41:55
C:\WINDOWS\prefetch\MSNMSGR.EXE-030AB647.pf -->2007-12-16 19:41:50
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->2007-12-16 19:41:26
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->2007-12-16 19:41:23
 
C:\WINDOWS\System32\drivers\avipbb.sys -->2007-12-15 16:27:11
C:\WINDOWS\System32\drivers\secdrv.sys -->2007-11-13 05:25:54
C:\WINDOWS\System32\drivers\tmcomm.sys -->2007-10-20 19:47:35
C:\WINDOWS\System32\drivers\avgntdd.sys -->2007-08-09 13:04:11
C:\WINDOWS\System32\drivers\AWRTRD.sys -->2007-08-07 13:58:08
C:\WINDOWS\System32\drivers\NSDriver.sys -->2007-08-07 13:56:58
C:\WINDOWS\System32\drivers\pxhelp20.sys -->2007-07-26 18:06:18
 
C:\WINDOWS\System32\wpa.dbl -->2007-12-16 19:40:29
C:\WINDOWS\System32\OODBS.lor -->2007-12-16 19:39:46
C:\WINDOWS\System32\settingsbkup.sfm -->2007-12-16 17:37:47
C:\WINDOWS\System32\settings.sfm -->2007-12-16 17:37:47
C:\WINDOWS\System32\DVCStateBkp-{00000000-00000000-0000000C-00001102-00000002-80611102}.dat -->2007-12-16 17:37:47
C:\WINDOWS\System32\DVCState-{00000000-00000000-0000000C-00001102-00000002-80611102}.dat -->2007-12-16 17:37:47
C:\WINDOWS\System32\BMXStateBkp-{00000000-00000000-0000000C-00001102-00000002-80611102}.rfx -->2007-12-16 17:37:47
C:\WINDOWS\System32\BMXState-{00000000-00000000-0000000C-00001102-00000002-80611102}.rfx -->2007-12-16 17:37:47
C:\WINDOWS\System32\BMXCtrlState-{00000000-00000000-0000000C-00001102-00000002-80611102}.rfx -->2007-12-16 17:37:47
C:\WINDOWS\System32\BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000002-80611102}.rfx -->2007-12-16 17:37:47
C:\WINDOWS\System32\tmp.txt -->2007-12-15 18:51:20
C:\WINDOWS\System32\tmp.reg -->2007-12-15 18:51:20
C:\WINDOWS\System32\perfh00C.dat -->2007-12-15 16:16:43
C:\WINDOWS\System32\perfh009.dat -->2007-12-15 16:16:43
C:\WINDOWS\System32\perfc00C.dat -->2007-12-15 16:16:43
C:\WINDOWS\System32\perfc009.dat -->2007-12-15 16:16:43
C:\WINDOWS\System32\PerfStringBackup.INI -->2007-12-15 16:16:42
C:\WINDOWS\System32\BASSMOD.dll -->2007-12-15 13:29:12
C:\WINDOWS\System32\nscompat.tlb -->2007-12-15 13:26:19
C:\WINDOWS\System32\amcompat.tlb -->2007-12-15 13:26:19
C:\WINDOWS\System32\CONFIG.NT -->2007-12-15 12:46:19
C:\WINDOWS\System32\swreg.exe -->2007-12-13 21:26:50
C:\WINDOWS\System32\IEDFix.exe -->2007-12-13 19:40:20
C:\WINDOWS\System32\d3d9caps.dat -->2007-12-13 14:15:37
C:\WINDOWS\System32\TZLog.log -->2007-12-12 18:59:45
 
C:\WINDOWS\WindowsUpdate.log -->2007-12-16 19:41:03
C:\WINDOWS\0.log -->2007-12-16 19:40:14
C:\WINDOWS\wiadebug.log -->2007-12-16 19:40:13
C:\WINDOWS\wiaservc.log -->2007-12-16 19:40:11
C:\WINDOWS\QTFont.qfn -->2007-12-16 19:40:06
C:\WINDOWS\bootstat.dat -->2007-12-16 19:39:51
C:\WINDOWS\ntbtlog.txt -->2007-12-16 17:55:15
C:\WINDOWS\win.ini -->2007-12-16 17:11:35
C:\WINDOWS\system.ini -->2007-12-16 17:11:35
C:\WINDOWS\WgaNotify.log -->2007-12-16 17:08:29
C:\WINDOWS\setupapi.log -->2007-12-16 17:08:26
C:\WINDOWS\msnfix.txt -->2007-12-16 00:08:29
C:\WINDOWS\olsdbg.log -->2007-12-15 23:16:56
C:\WINDOWS\ODBC.INI -->2007-12-15 15:07:38
C:\WINDOWS\NeroDigital.ini -->2007-12-15 14:03:44
 
winlogon.exe  
 Verified: Signed
svchost.exe  
 Verified: Signed
ws2_32.dll  
 Verified: Signed
user32.dll  
 Verified: Signed
tcpip.sys  
 Verified: Unsigned
ndis.sys  
 Verified: Signed
null.sys  
 Verified: Signed
 
 
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
 
------------------------------------------------------------------------------
explorer.exe pid: 1460
Command line: C:\WINDOWS\Explorer.EXE
 
  Base        Size      Version         Path
  0x44080000  0xcf000   7.00.6000.16574  C:\WINDOWS\system32\WININET.dll
  0x00400000  0x9000    6.00.5441.0000  C:\WINDOWS\system32\Normaliz.dll
  0x43e00000  0x45000   7.00.6000.16574  C:\WINDOWS\system32\iertutil.dll
  0x58b50000  0x9a000   5.82.2900.2982  C:\WINDOWS\system32\comctl32.dll
  0x76f80000  0x7f000   2001.12.4414.0308  C:\WINDOWS\system32\CLBCATQ.DLL
  0x77000000  0xd4000   2001.12.4414.0258  C:\WINDOWS\system32\COMRes.dll
  0x76ac0000  0x11000   3.05.2284.0000  C:\WINDOWS\system32\ATL.DLL
  0x44160000  0x127000  7.00.6000.16574  C:\WINDOWS\system32\urlmon.dll
  0x44360000  0x5cd000  7.00.6000.16574  C:\WINDOWS\system32\ieframe.dll
  0x7d200000  0x2be000  3.01.4000.4039  C:\WINDOWS\system32\msi.dll
  0x442b0000  0x3c000   7.00.6000.16574  C:\WINDOWS\system32\webcheck.dll
  0x164a0000  0x23000   5.02.5721.5145  C:\WINDOWS\system32\WPDShServiceObj.dll
  0x109c0000  0x2c000   5.02.5721.5145  C:\WINDOWS\system32\PortableDeviceTypes.dll
  0x10930000  0x49000   5.02.5721.5145  C:\WINDOWS\system32\PortableDeviceApi.dll
  0x02340000  0x56000   7.10.3052.0004  C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCR71.dll
  0x7c3a0000  0x7b000   7.10.3077.0000  C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCP71.dll
  0x78130000  0x9b000   8.00.50727.1433  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
  0x037d0000  0x11a000  1.05.0000.0008  C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  0x74730000  0x3d000   3.525.1117.0000  C:\WINDOWS\system32\ODBC32.dll
  0x042e0000  0x18000   3.525.1117.0000  C:\WINDOWS\system32\odbcint.dll
  0x02c80000  0xc000    1.00.0000.0002  c:\windows\dirsize.dll
  0x03ce0000  0x1b9000  2.00.0000.0007  C:\Program Files\Fichiers communs\Ahead\lib\NeroDigitalExt.dll
  0x7c140000  0x103000  7.10.3077.0000  C:\Program Files\Fichiers communs\Ahead\lib\MFC71.DLL
  0x02cb0000  0x5b000   8.01.0000.0000  C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
  0x02d20000  0x4c000   8.00.0000.0000  C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
  0x02980000  0xbe000   1.00.0001.0005  C:\Program Files\Fichiers communs\Ahead\lib\NMDataServices.dll
  0x014a0000  0x19000   1.00.0001.0005  C:\Program Files\Fichiers communs\Ahead\lib\NMPluginBase.dll
  0x02a80000  0x76000   1.00.0001.0005  C:\Program Files\Fichiers communs\Ahead\lib\NMCoFoundation.dll
  0x02b00000  0x33000   1.00.0001.0005  C:\Program Files\Fichiers communs\Ahead\lib\NMVDS.dll
  0x014c0000  0x8000    1.00.0001.0005  C:\Program Files\Fichiers communs\Ahead\lib\NMIndexStoreSvrPS.dll
  0x10000000  0x13000   7.05.0001.0036  C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
  0x16200000  0x6000    4.01.0000.0000  C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
  0x030a0000  0x2a000   7.05.0001.0036  C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
  0x02f80000  0x14000   2.00.0000.0005  C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll
  0x7c250000  0x102000  7.10.3077.0000  C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL
  0x034e0000  0x129000  11.00.0000.11492  C:\Program Files\Norton Save and Restore\Browser\VProShellExt.dll
  0x03710000  0x2b000                   C:\Program Files\WinRAR\rarext.dll
  0x03740000  0x11000   7.00.0000.0010  C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll
  0x11000000  0xf000    1.00.0000.0000  C:\WINDOWS\system32\Eeshellx.dll
  0x66000000  0x152000  6.00.0097.0082  C:\WINDOWS\system32\MSVBVM60.DLL
  0x66630000  0x20000   6.00.0089.0088  C:\WINDOWS\system32\VB6FR.DLL
 
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
 
------------------------------------------------------------------------------
winlogon.exe pid: 668
Command line: winlogon.exe
 
  Base        Size      Version         Path
  0x01000000  0x81000                   \??\C:\WINDOWS\system32\winlogon.exe
  0x58b50000  0x9a000   5.82.2900.2982  C:\WINDOWS\system32\COMCTL32.dll
  0x74730000  0x3d000   3.525.1117.0000  C:\WINDOWS\system32\ODBC32.dll
  0x20000000  0x18000   3.525.1117.0000  C:\WINDOWS\system32\odbcint.dll
  0x011e0000  0x3b000   1.07.0018.0005  C:\WINDOWS\system32\WgaLogon.dll
  0x76f80000  0x7f000   2001.12.4414.0308  C:\WINDOWS\system32\CLBCATQ.DLL
  0x77000000  0xd4000   2001.12.4414.0258  C:\WINDOWS\system32\COMRes.dll
 
 
 Le volume dans le lecteur C s'appelle Disque local
 Le numéro de série du volume est 2021-2563
 
 Répertoire de C:\WINDOWS\system32
 
2004-08-19  15:09             6,144 csrss.exe
               1 fichier(s)            6,144 octets
               0 Rép(s)   1,787,535,360 octets libres
 
Contenu de Downloaded Program Files  
 Le volume dans le lecteur C s'appelle Disque local
 Le numéro de série du volume est 2021-2563
 
 Répertoire de C:\WINDOWS\Downloaded Program Files
 
2007-12-15  23:35    <REP>          .
2007-12-15  23:35    <REP>          ..
               0 fichier(s)                0 octets
 
     Total des fichiers listés :
               0 fichier(s)                0 octets
               2 Rép(s)   1,787,535,360 octets libres
 
Recherche de rootkit! (Merci S!Ri)  
 
Recherche d'infections connues  
 
Export des clefs sensibles..  
 
   
Liste des fichiers en exception sur le pare-feu XP SP2  
 
 
 
Export de la clef SharedTaskScheduler  
 
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
 
 
 
exports des policies
REGEDIT4
 
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
 
 
 
Export des clefs sensibles..  
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 19:45:22
Windows 5.1.2600 Service Pack 2 NTFS
 
scanning hidden services & system hive ...
 
scanning hidden registry entries ...
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
source file error: C:\Documents and Settings\Administrateur\ntuser.dat
 
scanning hidden files ...
 
scan completed successfully
hidden services: 0
hidden files: 0
 
 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)
 
Process list by traversal of KiWaitListHead
 
4     -           System  
604   -      svchost.exe  
644   -        csrss.exe  
668   -     winlogon.exe  
712   -     services.exe  
724   -        lsass.exe  
880   -      svchost.exe  
936   -      svchost.exe  
996   -      svchost.exe  
1040  -      svchost.exe  
1080  -      svchost.exe  
1244  -      avguard.exe  
1460  -     explorer.exe  
1684  -  iTunesHelper.ex  
1720  -      msnmsgr.exe  
1744  -       ctfmon.exe  
1796  -        DUC20.exe  
1808  -        sched.exe  
1820  -  AppleMobileDevi  
1876  -     inetinfo.exe  
1952  -        DUC20.exe  
1968  -          cmd.exe  
2012  -        oodag.exe  
2184  -          alg.exe  
2360  -  iPodService.exe  
2600  -      svchost.exe  
2756  -      taskmgr.exe  
2840  -      wuauclt.exe  
3196  -      wscntfy.exe  
3332  -      wuauclt.exe  
5208  -     iexplore.exe  
5288  -  WLLoginProxy.ex  
 
Total number of processes = 32
NOTE: Under WinXP, this will not show all processes.
 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)
 
Driver/Module list by traversal of PsLoadedModuleList
 
804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7A2F000 - \WINDOWS\system32\KDCOM.DLL
F793F000 - \WINDOWS\system32\BOOTVID.dll
F74DF000 - ACPI.sys
F7A31000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F74CE000 - pci.sys
F752F000 - isapnp.sys
F7A33000 - viaide.sys
F77AF000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F753F000 - MountMgr.sys
F74AF000 - ftdisk.sys
F7A35000 - dmload.sys
F7489000 - dmio.sys
F77B7000 - PartMgr.sys
F754F000 - VolSnap.sys
F7471000 - atapi.sys
F755F000 - disk.sys
F756F000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7451000 - fltMgr.sys
F743F000 - sr.sys
F757F000 - PxHelp20.sys
F7429000 - SymSnap.sys
F7412000 - KSecDD.sys
F7385000 - Ntfs.sys
F7358000 - NDIS.sys
F758F000 - viaagp.sys
F733D000 - Mup.sys
F75EF000 - \SystemRoot\system32\DRIVERS\processr.sys
F686E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F685A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F75FF000 - \SystemRoot\system32\DRIVERS\imapi.sys
F760F000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F761F000 - \SystemRoot\system32\DRIVERS\redbook.sys
F6837000 - \SystemRoot\system32\DRIVERS\ks.sys
F78D7000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F78DF000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F6814000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F67FF000 - \SystemRoot\system32\driver