Bonjour,

Je vais m'occuper de toi. Merci de prendre en compte que je suis bénévole, que j'ai une vie privée et que j'aide plusieurs internautes à la fois, donc merci d'être patient. Cependant, je ne lâche jamais un internaute tant que son PC n'est pas propre

1) Téléchargez ATF Cleaner sur votre Bureau.

• Faites un double clic sur ATF-Cleaner.exe pour lancer le programme.
• Cliquez sur Select All situé en bas de la liste.
• Cliquez sur le bouton Empty Selected.

Si vous utilisez le navigateur Firefox, faites aussi ceci :

• Cliquez sur Firefox en haut et choisissez Select All dans la liste.
• Cliquez sur le bouton Empty Selected.
• NOTE : Si vous désirez conserver vos mots de passe enregistrés, cliquez sur No dans le message d'avertissement.

Si vous utilisez le navigateur Opera, faites aussi ceci :

• Cliquez sur Opera en haut et choisissez Select All dans la liste.
• Fermez TOUS les navigateurs Internet (très important).
• Cliquez sur le bouton Empty Selected.
• NOTE : Si vous désirez conserver vos mots de passe enregistrés, cliquez sur No dans le message d'avertissement.

Cliquez sur Exit dans le menu principal pour fermer le programme.

2) Ensuite, téléchargez OTScanIt.exe sur votre Bureau, et faites un double clic dessus pour extraire les fichiers. Ceci va créer un dossier nommé OTScanIt sur votre Bureau.

N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

Note : Vous devez avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

• Fermez TOUS LES AUTRES PROGRAMMES.
• Ouvrez le dossier OTScanIt et faites un double clic sur OTScanIt.exe pour lancer le programme (si vous êtes sous Windows Vista, faites un clic droit sur le programme et choisissez Exécuter en tant qu'Administrateur).
• Dans la section Drivers cliquez sur Non-Microsoft.
• Sous Additional Scans cochez la case située devant les éléments suivants afin de les sélectionner :

Reg - BotCheck
File - Additional Folder Scans

• Ne modifiez aucun autre paramètre.
• Ensuite, cliquez sur le bouton Run Scan dans la barre d'outils.
• Laissez le programme tourner sans intervenir.
• Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
• Cliquez sur le menu Format et vérifiez que Retour automatique à la ligne n'est pas coché. S'il l'est, cliquez dessus afin de le décocher.

Utilisez le bouton Répondre et faites un copier/coller de ces informations ici. Je les examinerai dès leur arrivée. Vérifiez que la première ligne est code entouré de crochets [] et que la dernière ligne est /code entouré de crochets [].

Si, après avoir envoyé votre message, la dernière ligne n'est pas <End of Report> cela signifie que le rapport est trop long pour tenir dans un seul message, et vous devez dans ce cas le découper en plusieurs messages, ou le mettre sur Mediafire : http://www.mediafire.com

J ai finalement reussi a le telecharger mais impossible d'ouvrir le fichier ...

Message d'erreur qui me dit que cen'est pas une application Win32 valide ....


Pffff ! J'y comprend rien ! J'aurais du faire informatique !!! Serais pas au chomage !! lol

Merci pour ton aide

a plus tard

alexandra

Merci ....

mais je ne peux pas cocher HijackThis Log ....

Et voila le rapport tant attendu !!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:12, on 20/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\PalickSoft\HDD Temperature\HDDTSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB6C4FE9-E4E8-49CA-8233-FBA11C475754}: NameServer = 192.168.30.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HDD Temperature (HDDTService) - PalickSoft - C:\Program Files\PalickSoft\HDD Temperature\HDDTSvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6271 bytes


Merci !!

alexandra

vOILA !!!!


DiagHelp version v1.4 - http://www.malekal.com
excute le 20/08/2008 à 13:05:02,18


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\System32\drivers\amon.sys -->26/07/2008 16:53:14
C:\WINDOWS\System32\drivers\nod32drv.sys -->26/07/2008 16:53:10
C:\WINDOWS\System32\drivers\ar5211.sys -->26/07/2007 13:19:24
C:\WINDOWS\System32\drivers\vdmindvd.sys -->21/07/2007 16:34:24
C:\WINDOWS\System32\drivers\usbintel.sys -->21/07/2007 16:34:24
C:\WINDOWS\System32\drivers\usbcamd2.sys -->21/07/2007 16:34:24
C:\WINDOWS\System32\drivers\usbcamd.sys -->21/07/2007 16:34:24

C:\WINDOWS\System32\imon1.dat -->20/08/2008 12:02:12
C:\WINDOWS\System32\perfh00C.dat -->14/08/2008 20:29:10
C:\WINDOWS\System32\perfh009.dat -->14/08/2008 20:29:10
C:\WINDOWS\System32\perfc00C.dat -->14/08/2008 20:29:10
C:\WINDOWS\System32\perfc009.dat -->14/08/2008 20:29:10
C:\WINDOWS\System32\PerfStringBackup.INI -->14/08/2008 20:29:09
C:\WINDOWS\System32\nscompat.tlb -->14/08/2008 20:27:38
C:\WINDOWS\System32\amcompat.tlb -->14/08/2008 20:27:38
C:\WINDOWS\System32\wpa.dbl -->14/08/2008 20:25:37
C:\WINDOWS\System32\FNTCACHE.DAT -->29/07/2008 13:52:30
C:\WINDOWS\System32\imon.dll -->26/07/2008 16:53:16
C:\WINDOWS\System32\LoopyMusic.wav -->26/07/2008 15:09:13
C:\WINDOWS\System32\BuzzingBee.wav -->26/07/2008 15:09:13
C:\WINDOWS\System32\h323log.txt -->26/07/2008 14:51:09
C:\WINDOWS\System32\$winnt$.inf -->26/07/2008 13:01:19
C:\WINDOWS\System32\TZLog.log -->26/07/2008 12:58:18
C:\WINDOWS\System32\CONFIG.NT -->26/07/2008 12:56:16
C:\WINDOWS\System32\WindowsLogon.manifest -->26/07/2008 12:55:17
C:\WINDOWS\System32\logonui.exe.manifest -->26/07/2008 12:55:17
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->26/07/2008 12:55:11
C:\WINDOWS\System32\sapi.cpl.manifest -->26/07/2008 12:55:11
C:\WINDOWS\System32\nwc.cpl.manifest -->26/07/2008 12:55:11
C:\WINDOWS\System32\ncpa.cpl.manifest -->26/07/2008 12:55:11
C:\WINDOWS\System32\cdplayer.exe.manifest -->26/07/2008 12:55:11
C:\WINDOWS\System32\emptyregdb.dat -->26/07/2008 12:53:17

C:\WINDOWS\0.log -->20/08/2008 12:03:12
C:\WINDOWS\bootstat.dat -->20/08/2008 12:02:53
C:\WINDOWS\WindowsUpdate.log -->20/08/2008 12:02:11
C:\WINDOWS\win.ini -->14/08/2008 20:27:34
C:\WINDOWS\WMSysPr9.prx -->14/08/2008 20:26:56
C:\WINDOWS\ODBC.INI -->29/07/2008 13:19:55
C:\WINDOWS\system.ini -->28/07/2008 11:31:37
C:\WINDOWS\REGLOCS.OLD -->26/07/2008 13:02:12
C:\WINDOWS\control.ini -->26/07/2008 12:56:16
C:\WINDOWS\ODBCINST.INI -->26/07/2008 12:56:06
C:\WINDOWS\WindowsShell.Manifest -->26/07/2008 12:55:11
C:\WINDOWS\vbaddin.ini -->26/07/2008 12:53:04
C:\WINDOWS\vb.ini -->26/07/2008 12:53:04
C:\WINDOWS\explorer.exe -->06/08/2007 11:51:03
C:\WINDOWS\hh.exe -->16/07/2007 16:25:34

winlogon.exe
Verified: Unsigned
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 356
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.3085 C:\WINDOWS\system32\msvcrt.dll
0x771b0000 0xce000 7.00.5730.0011 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x5dca0000 0x45000 7.00.5730.0011 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0312 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x01fe0000 0x5c9000 7.00.5730.0011 C:\WINDOWS\system32\ieframe.dll
0x61410000 0x124000 7.00.5730.0011 C:\WINDOWS\system32\urlmon.dll
0x74b30000 0x3b000 7.00.5730.0011 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x034f0000 0x4c000 9.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x10000000 0x5b000 9.00.0000.0332 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x038c0000 0x9b000 C:\PROGRA~1\IZArc\IZArcCM.dll
0x03d00000 0x10000 C:\Program Files\Eset\nodshex.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 596
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.3085 C:\WINDOWS\system32\msvcrt.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x11000 6.14.0010.4132 C:\WINDOWS\system32\Ati2evxx.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0312 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C s'appelle system
Le numéro de série du volume est 7C24-CDB1

Répertoire de C:\WINDOWS\system32

19/08/2004 22:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 57 305 038 848 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle system
Le numéro de série du volume est 7C24-CDB1

Répertoire de C:\WINDOWS\Downloaded Program Files

14/08/2008 20:23 <REP> .
14/08/2008 20:23 <REP> ..
26/07/2008 12:55 65 desktop.ini
26/06/2008 10:25 512 gp.inf
20/03/2008 15:10 367 LegitCheckControl.inf
04/02/2008 17:53 361 OGAControl.inf
4 fichier(s) 1 305 octets

Total des fichiers listés :
4 fichier(s) 1 305 octets
2 Rép(s) 57 305 038 848 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 activexupdate.com
127.0.0.1 www.activexupdate.com
127.0.0.1 msupdater.net
127.0.0.1 www.msupdater.net
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 necessaryupdates.com
127.0.0.1 www.necessaryupdates.com
127.0.0.1 systemupdates.net
127.0.0.1 www.systemupdates.net
127.0.0.1 updates.spywarequake.com
127.0.0.1 urgentsystemupdate.com
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 windupdates.com
127.0.0.1 securityupdatesite.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 msupdate.net
127.0.0.1 www.msupdate.net
127.0.0.1 redirect.msupdate.net
127.0.0.1 eupdatepage.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 updatemysettings.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 www.exeupdate.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 www.avpcheckupdate.com
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 13:05:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
356 - explorer.exe
568 - csrss.exe
596 - winlogon.exe
640 - services.exe
652 - lsass.exe
656 - SynTPEnh.exe
808 - ati2evxx.exe
828 - svchost.exe
884 - svchost.exe
944 - svchost.exe
1040 - svchost.exe
1052 - WLTRAY.EXE
1080 - CLI.exe
1168 - RTHDCPL.exe
1208 - ctfmon.exe
1268 - BCMWLTRY.EXE
1288 - spoolsv.exe
1428 - HDDTSvc.exe
1516 - MDM.EXE
1564 - nod32krn.exe
1968 - ati2evxx.exe
2064 - cmd.exe
2324 - CLI.exe
2344 - CLI.exe
2712 - iexplore.exe

Total number of processes = 26
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\OEMKRNL.EXE
8070F000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F75A7000 - ACPI.sys
F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7596000 - pci.sys
F75F7000 - isapnp.sys
F789B000 - compbatt.sys
F789F000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F74D8000 - pcmcia.sys
F7607000 - MountMgr.sys
F74B9000 - ftdisk.sys
F798B000 - dmload.sys
F7493000 - dmio.sys
F78A3000 - ACPIEC.sys
F7A50000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F770F000 - PartMgr.sys
F7617000 - VolSnap.sys
F747B000 - atapi.sys
F7627000 - disk.sys
F7637000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F745B000 - fltMgr.sys
F7444000 - KSecDD.sys
F7B52000 - Ntfs.sys
F7417000 - NDIS.sys
F787D000 - Mup.sys
F7657000 - \SystemRoot\system32\DRIVERS\AmdK8.sys
F791F000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
BAE1F000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
BAE0B000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F772F000 - \SystemRoot\system32\DRIVERS\usbohci.sys
BADE7000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7737000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F7667000 - \SystemRoot\system32\DRIVERS\imapi.sys
F7677000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F7687000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAD24000 - \SystemRoot\system32\DRIVERS\ks.sys
BACFF000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F7697000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F775F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BACCF000 - \SystemRoot\system32\DRIVERS\SynTP.sys
F798F000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7777000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7937000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
BACBA000 - \SystemRoot\system32\DRIVERS\Rtnicxp.sys
BAC34000 - \SystemRoot\system32\DRIVERS\ar5211.sys
F76A7000 - \SystemRoot\system32\DRIVERS\EMS7SK.sys
BAC20000 - \SystemRoot\system32\DRIVERS\sdbus.sys
BAC0D000 - \SystemRoot\system32\DRIVERS\ESM7SK.sys
F76B7000 - \SystemRoot\system32\DRIVERS\ESD7SK.sys
F7ABC000 - \SystemRoot\system32\DRIVERS\audstub.sys
F76C7000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F7943000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
BABF6000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F76D7000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F76E7000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F77A7000 - \SystemRoot\system32\DRIVERS\TDI.SYS
BABBD000 - \SystemRoot\system32\DRIVERS\psched.sys
F76F7000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F77B7000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F77C7000 - \SystemRoot\system32\DRIVERS\raspti.sys
BAB8C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F7586000 - \SystemRoot\system32\DRIVERS\termdd.sys
F7997000 - \SystemRoot\system32\DRIVERS\swenum.sys
BAA93000 - \SystemRoot\system32\DRIVERS\update.sys
BAFE4000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7576000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7546000 - \SystemRoot\system32\DRIVERS\usbhub.sys
AA5FF000 - \SystemRoot\system32\drivers\RtkHDAud.sys
AA5DD000 - \SystemRoot\system32\drivers\portcls.sys
F7536000 - \SystemRoot\system32\drivers\drmk.sys
AA5A9000 - \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
AA4B7000 - \SystemRoot\system32\DRIVERS\HSF_DPV.sys
AA404000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
F77E7000 - \SystemRoot\System32\Drivers\Modem.SYS
F79A5000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7AA4000 - \SystemRoot\System32\Drivers\Null.SYS
F79A9000 - \SystemRoot\System32\Drivers\Beep.SYS
F7817000 - \SystemRoot\System32\drivers\vga.sys
F79AD000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79B1000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7727000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7747000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7927000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AA3D1000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AA379000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F793F000 - \SystemRoot\System32\drivers\ws2ifsl.sys
AA32F000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F7516000 - \SystemRoot\system32\DRIVERS\wanarp.sys
AA30D000 - \SystemRoot\System32\drivers\afd.sys
F7506000 - \SystemRoot\system32\DRIVERS\netbios.sys
AA2E2000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F79B9000 - \SystemRoot\system32\drivers\nod32drv.sys
AA273000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BADD7000 - \SystemRoot\System32\Drivers\Fips.SYS
BADB7000 - \SystemRoot\System32\Drivers\Cdfs.SYS
AA1BB000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79BD000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
BAA7B000 - \SystemRoot\System32\drivers\Dxapi.sys
F7787000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7AB6000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\ati2dvag.dll
BFA18000 - \SystemRoot\System32\ati2cqag.dll
BFA5D000 - \SystemRoot\System32\atikvmag.dll
BFA93000 - \SystemRoot\System32\ati3duag.dll
BFD25000 - \SystemRoot\System32\ativvaxx.dll
A7DE1000 - \SystemRoot\system32\DRIVERS\netbt.sys
A7F19000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A7C4E000 - \SystemRoot\system32\drivers\amon.sys
A7BD4000 - \SystemRoot\system32\DRIVERS\srv.sys
A7DC1000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
A7AA7000 - \SystemRoot\system32\drivers\wdmaud.sys
A7D31000 - \SystemRoot\system32\drivers\sysaudio.sys
A701C000 - \SystemRoot\system32\drivers\kmixer.sys
F7A89000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 120

Liste des programmes installes

Adobe Flash Player ActiveX
Adobe Reader 9 - Français
Analyseur MSXML 6.0
Assistant de connexion Windows Live
Atheros for Acer Driver 5.3.0.67_Foxconn Installation Program
ATI - Utilitaire de désinstallation du logiciel
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
Broadcom 802.11 Network Adapter
Broadcom Wireless LAN Driver 4.100.15.7_Negative_Foxconn
CCleaner (remove only)
CDBurnerXP
EVEREST Home Edition v2.20
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HDAUDIO Soft Data Fax Modem with SmartCP
HDD Temperature
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
IZArc 3.81
K-Lite Codec Pack 4.0.0 (Full)
Lecteur Windows Media 11
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de logiciel pour les Dossiers Web
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour pour Windows XP (KB931836)
MSXML 4.0 SP2 (KB927978)
NOD32 Antivirus System
NOD32 FiX
Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (04/28/2006 1.3.1.0)
REALTEK GbE & FE Ethernet PCI NIC Driver
Realtek High Definition Audio Driver
Sauvegarde des Dossiers personnels Microsoft Outlook
SMSC IrCC V5.1.3600.7
Soft Data Fax Modem with SmartCP
Synaptics Pointing Device Driver
VideoLAN VLC media player 0.8.6i
Windows Internet Explorer 7
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11



Le volume dans le lecteur C s'appelle system
Le numéro de série du volume est 7C24-CDB1

Répertoire de C:\Program Files

20/08/2008 12:50 <REP> .
20/08/2008 12:50 <REP> ..
28/07/2008 15:21 <REP> Adobe
26/07/2008 13:58 <REP> Atheros
26/07/2008 13:25 <REP> ATI Technologies
26/07/2008 14:46 <REP> Broadcom
29/07/2008 12:40 <REP> CCleaner
29/07/2008 12:42 <REP> CDBurnerXP
26/07/2008 12:53 <REP> ComPlus Applications
26/07/2008 15:11 <REP> CONEXANT
26/07/2008 14:48 <REP> DIFX
20/08/2008 12:20 <REP> ESET
29/07/2008 13:15 <REP> Fichiers communs
28/07/2008 15:20 <REP> Google
26/07/2008 13:23 <REP> Internet Explorer
29/07/2008 14:25 <REP> IZArc
29/07/2008 14:51 <REP> K-Lite Codec Pack
09/08/2008 18:22 <REP> Lavalys
29/07/2008 13:15 <REP> Microsoft Office
29/07/2008 13:14 <REP> Microsoft Visual Studio
29/07/2008 13:15 <REP> Microsoft Works
29/07/2008 13:13 <REP> Microsoft.NET
29/07/2008 16:29 <REP> MSN Messenger
26/07/2008 12:58 <REP> MSXML 4.0
26/07/2008 12:58 <REP> MSXML 6.0
26/07/2008 12:54 <REP> NetMeeting
28/07/2008 19:23 <REP> NOS
26/07/2008 12:54 <REP> Outlook Express
09/08/2008 13:45 <REP> PalickSoft
26/07/2008 15:02 <REP> Realtek
26/07/2008 12:55 <REP> Services en ligne
26/07/2008 13:29 <REP> Synaptics
20/08/2008 12:50 <REP> Trend Micro
29/07/2008 14:21 <REP> VideoLAN
29/07/2008 14:57 <REP> Windows Live
14/08/2008 20:27 <REP> Windows Media Connect 2
14/08/2008 20:27 <REP> Windows Media Player
26/07/2008 12:52 <REP> Windows NT
0 fichier(s) 0 octets
38 Rép(s) 57 303 879 680 octets libres
Le volume dans le lecteur C s'appelle system
Le numéro de série du volume est 7C24-CDB1

Répertoire de C:\Program Files\fichiers communs

29/07/2008 13:15 <REP> .
29/07/2008 13:15 <REP> ..
28/07/2008 15:21 <REP> Adobe
26/07/2008 13:25 <REP> ATI Technologies
29/07/2008 13:15 <REP> DESIGNER
26/07/2008 13:24 <REP> InstallShield
29/07/2008 13:19 <REP> Microsoft Shared
26/07/2008 12:54 <REP> MSSoap
26/07/2008 14:48 <REP> ODBC
26/07/2008 12:54 <REP> Services
26/07/2008 14:48 <REP> SpeechEngines
29/07/2008 13:14 <REP> System
0 fichier(s) 0 octets
12 Rép(s) 57 303 879 680 octets libres
Le volume dans le lecteur C s'appelle system
Le numéro de série du volume est 7C24-CDB1

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

26/07/2008 13:02 <REP> .
26/07/2008 13:02 <REP> ..
29/07/2008 13:15 <REP> 1033
26/07/2008 13:02 <REP> 1036
17/09/2004 14:43 1 293 008 msonsext.dll
15/07/2003 07:52 35 896 MSOSV.DLL
17/09/2004 14:43 80 448 pkmws.dll
3 fichier(s) 1 409 352 octets
4 Rép(s) 57 303 879 680 octets libres




c:\Documents and Settings\Alexandra\Application Data\Canneverbe_Limited\cdbxpp.exe_Url_nfryvllqiqb1hla4nzefaejvhwflc2o0
c:\Documents and Settings\Alexandra\Application Data\U3\temp\cleanup.exe
c:\Documents and Settings\Alexandra\Bureau\Installation de Windows Live.exe
c:\Documents and Settings\Alexandra\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ORDINATEUR.tar.gz a l'adresse http://upload.malekal.com

Merci !!!