mises à jour automatiques désactivées

> Tous les forums > Sécurité

Statut du sujet : NON RESOLU

Kerlam

Posté le 24/06/2008 @ 18:56

Petit astucien

43 Messages

Bonjour!

En allumant mon ordi aujourd'hui j'ai eu la surprise de voir s'afficher une notification m'informant que mes mises à jour automatiques étaient désactivées. J'ouvre le centre de sécurité de mon windows XP SP2 et lorsque je clique sur "activer les mises à jour automatiques" il me répond: "désolé, le centre de sécurité n'a pas pu modifier vos paramètres de mises à jour automatiques. Pour tenter de modifier ces paramètres vous même, ..." etc et lorsque j'accède enfin à la fenêtre des mises à jour automatiques, elles sont déjà activées et tout semble en ordre!

Pensant à une infection par virus ou espion, je scanne mon disque avec Spybot et antivir puis avec spyware sweeper et l'antivirus en ligne de secuser.com pour avoir un deuxième avis mais rien de rien de ce coté là.

Malgré maintes recherches sur google et différents forum, je n'ai toujours pas le moindre début de piste.

Je m'en remet donc à vos avis éclairés...

D'avance Supermerci!

Publicité

maybe

Posté le 24/06/2008 à 20:14

Groupe Sécurité

22002 Messages

Hello Kerlam,

Et bienvenu.

As-tu fait des modifications particulières hier (registre, logiciel de nettoyage, paramètres pare-feu, etc) ?

- démarrer / exécuter / taper services.msc / OK
- l'entrée "mises à jour automatiques" est bien sur automatique et démarré ?

Kerlam

Posté le 25/06/2008 à 04:18

Petit astucien

43 Messages

Bonjour casse noisette et merci pour ton accueil et ta réponse.

Pour répondre à ta question: non, je n'ai rien fait d'inhabituel son mes ordi ces dernier jours.

Par contre une chose interressante c'est que dans services.msc, l'entrée "mises à jour automatiques" n'apparait pas. Comment-es-ce-donc possib'?

maybe

Posté le 25/06/2008 à 08:43

Groupe Sécurité

22002 Messages

A toi de me le dire !

Le service Mises à jour automatiques est manquant

Pour réinstaller le service Mises à jour automatiques, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez la commande suivante, puis cliquez sur OK :
%windir%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\au.inf

2. Si vous êtes invité à insérer le CD-ROM de votre système d'exploitation, tapez le chemin d'accès suivant dans Copier les fichiers à partir de :, puis cliquez sur OK.
%windir%\ServicePackFiles\i386

Remarque Cet emplacement contient les fichiers du Service Pack les plus récemment mis à jour. Si vous ne pouvez pas copier les fichiers requis à partir de ce chemin d'accès, insérez le CD-ROM de votre système d'exploitation, puis cliquez sur OK.

Kerlam

Posté le 25/06/2008 à 12:40

Petit astucien

43 Messages

Ouf! Ca a fonctionné, merci!

Après avoir lancé la commande dans "éxecuter" il m'a juste demandé où se trouvait wuapi.dll mais par chance je l'ai trouvé dans /systeme32/ et après un redémarrage j'ai retrouvé mes mises à jour automatiques.

Encore merci pour ton aide . Mais je ne vois toujours pas comment ce service a pu disparaitre... Cela pourrait-il être dû à une intervention extérieure comme un virus par exemple où à une mauvaise manipulation d'un logiciel de nettoyage de ma part?

maybe

Posté le 25/06/2008 à 12:50

Groupe Sécurité

22002 Messages

Cela pourrait-il être dû à une intervention extérieure comme un virus par exemple où à une mauvaise manipulation d'un logiciel de nettoyage de ma part?

Difficile à dire. Quels logiciels de nettoyage utilises-tu ?

Si tu veux, tu peux poster un rapport HijackThis et je le regarderai :

http://forum.pcastuces.com/sujet.asp?f=25&s=17490

Kerlam

Posté le 25/06/2008 à 16:05

Petit astucien

43 Messages

Pour le nettoyage j'utilise la maintenance en 1 clic de Tuneup Utilities 2008 et CCleaner.

Mon rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:29, on 25/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\GIGABYTE\GEST\gest.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\GIGABYTE\GEST\GSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Frédéric\Mes documents\JkDefrag-3.34\JkDefrag.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fsinsider.com/downloads/Pages/FlightSimulatorXServicePack1.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [GEST] "C:\Program Files\GIGABYTE\GEST\RUN.exe"
O4 - HKLM\..\Run: [36X Raid Configurer] "C:\WINDOWS\system32\xRaidSetup.exe" boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214394296468
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE8A4C88-B504-4D4E-89FD-087F707F88D1}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Avira antivir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira antivir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6102 bytes

Et le rapport de Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 890

15:48:17 25/06/2008
mbam-log-6-25-2008 (15-48-17).txt

Type de recherche: Examen rapide
Eléments examinés: 38512
Temps écoulé: 1 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\svghost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Autre petit souci, cet après-midi j'ai fait les mises à jours pour SP3 suite à l'installation et l'exécution de Microsoft Baseline Security Analyzer mais il en reste une qui ne semble pas vouloir s'installer malgré mes multiples essais, c'est la mise à jour de sécurité pour Microsoft XML Core Services 4.0 Service Pack 2 (KB936181). Es-ce normal sachant que Malwarebytes' Antimalware m'as trouvé un cheval de troie?

Kerlam

Posté le 25/06/2008 à 16:50

Petit astucien

43 Messages

Un autre petit post pour donner un nouveau rapport de Malwarebyte's Antimalware puisqu'il m'a à nouveau trouvé un cheval de troie cette fois-ci après un scan complet.

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 890

16:48:01 25/06/2008
mbam-log-6-25-2008 (16-48-01).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 160345
Temps écoulé: 35 minute(s), 52 second(s)

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{D649A503-E3EB-44F9-845D-F2B595BB3EE1}\RP49\A0008704.exe (Trojan.Agent) -> Quarantined and deleted successfully.

En espérant que cela vous aideras.

Modifié par Kerlam le 25/06/2008 16:53

maybe

Posté le 25/06/2008 à 17:08

Groupe Sécurité

22002 Messages

J'aimerais mieux qu'un intervenant vérifie plus en profondeur tes rapports.

- cliquer sur le triangle jaune dans la barre d'outils de ton dernier message
- une fenêtre va s'afficher : demander le transfert de ton sujet sur le forum sécurité

Décocher le symbole "résolu" puisque ça ne l'est pas.

Si tout est ok, je reprendrai le sujet pour ce problème

cet après-midi j'ai fait les mises à jours pour SP3 suite à l'installation et l'exécution de Microsoft Baseline Security Analyzer mais il en reste une qui ne semble pas vouloir s'installer malgré mes multiples essais, c'est la mise à jour de sécurité pour Microsoft XML Core Services 4.0 Service Pack 2 (KB936181).

Modifié par maybe le 25/06/2008 17:09

pcastuces

Posté le 25/06/2008 à 18:50

Equipe PC Astuces

Bonjour,

Le sujet a été déplacé par la modération dans un forum plus adéquat.

Vous pouvez continuer la discussion à la suite.

A bientôt.

philae

Posté le 25/06/2008 à 21:12

Groupe Sécurité

36118 Messages

bonsoir,

casse noisette

pourrais tu faire ce scan stp

Kaspersky (t u t o P C A )

poste le rapport ici ensuite stp

Kerlam

Posté le 26/06/2008 à 11:22

Petit astucien

43 Messages

Bonjour,

Voici le rapport du scan de Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, June 26, 2008 10:41:09 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 26/06/2008
Enregistrements dans la base antivirus Kaspersky : 787691
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 130254
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:52:53

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Local Settings\Temp\Perflib_Perfdata_18c.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Frédéric\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\_restore{D649A503-E3EB-44F9-845D-F2B595BB3EE1}\RP55\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{CD5302BB-BAC5-4E8D-9A2F-68D2D1E46A96}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Il semblerait qu'il n'ai rien trouvé d'inquiétant, Malwarebytes' Antimalware a dû bien faire son travail puisqu'il m'avait trouvé et supprimé le seul fichier infecté (voir post plus haut).

Par contre malgré mes essais, la mise à jour de Microsoft XML Core Services 4.0 ne semble toujours pas installée puisqu'il me la repropose systématiquement...

Kerlam

Posté le 26/06/2008 à 19:16

Petit astucien

43 Messages

Bonsoir!

Juste un petit up pour ne pas sombrer dans les profondeurs de la liste. et rappeler que j'ai toujours un souci avec une mise à jour récalcitrante:

cet après-midi j'ai fait les mises à jours pour SP3 suite à l'installation et l'exécution de Microsoft Baseline Security Analyzer mais il en reste une qui ne semble pas vouloir s'installer malgré mes multiples essais, c'est la mise à jour de sécurité pour Microsoft XML Core Services 4.0 Service Pack 2 (KB936181).

Je craind de ne pas pouvoir faire les mises à jours suivantes si celle-ci ne parvient pas à s'installer.

philae

Posté le 26/06/2008 à 21:56

Groupe Sécurité

36118 Messages

bonsoir,

tu n'as pas été oublié mais j'étais absente aujourd'hui.

* Télécharge DiagHelp.zip sur ton bureau(Merci Malekal)

Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd(le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.

* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

Kerlam

Posté le 27/06/2008 à 04:35

Petit astucien

43 Messages

Pardon pour mon impatience.

Voici le rapport demandé:

DiagHelp version v1.4 - http://www.malekal.com
excute le 27/06/2008 à 4:19:23,39

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->27/06/2008 04:19:09
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->27/06/2008 04:19:03
C:\WINDOWS\prefetch\7ZG.EXE-04CCF0C9.pf -->27/06/2008 04:18:20
C:\WINDOWS\prefetch\7ZFM.EXE-0E30BD4B.pf -->27/06/2008 04:18:15
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->27/06/2008 04:18:11
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->27/06/2008 04:16:00
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->27/06/2008 04:15:36
C:\WINDOWS\prefetch\UTORRENT.EXE-3888D1B0.pf -->27/06/2008 04:15:36
C:\WINDOWS\prefetch\THUNDERBIRD.EXE-38CA75D9.pf -->27/06/2008 04:15:36
C:\WINDOWS\prefetch\RUNDLL32.EXE-2576181F.pf -->27/06/2008 04:15:36

C:\WINDOWS\System32\drivers\npf.sys -->23/06/2008 10:50:18
C:\WINDOWS\System32\drivers\mbamcatchme.sys -->19/06/2008 17:48:04
C:\WINDOWS\System32\drivers\mbam.sys -->19/06/2008 17:47:58
C:\WINDOWS\System32\drivers\ET5Drv.sys -->18/06/2008 08:04:43
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:33:37
C:\WINDOWS\System32\drivers\lirsgt.sys -->22/05/2008 08:03:30
C:\WINDOWS\System32\drivers\atksgt.sys -->22/05/2008 08:03:30

C:\WINDOWS\System32\PerfStringBackup.INI -->25/06/2008 19:33:00
C:\WINDOWS\System32\perfh00C.dat -->25/06/2008 19:33:00
C:\WINDOWS\System32\perfh009.dat -->25/06/2008 19:33:00
C:\WINDOWS\System32\perfc00C.dat -->25/06/2008 19:33:00
C:\WINDOWS\System32\perfc009.dat -->25/06/2008 19:33:00
C:\WINDOWS\System32\wpa.dbl -->25/06/2008 14:22:04
C:\WINDOWS\System32\spupdwxp.log -->25/06/2008 14:08:58
C:\WINDOWS\System32\FNTCACHE.DAT -->25/06/2008 14:08:21
C:\WINDOWS\System32\wpcap.dll -->23/06/2008 10:50:18
C:\WINDOWS\System32\packet.dll -->23/06/2008 10:50:18
C:\WINDOWS\System32\CmdLineExt.dll -->21/06/2008 17:34:51
C:\WINDOWS\System32\wrap_oal.dll -->21/06/2008 17:34:34
C:\WINDOWS\System32\OpenAL32.dll -->21/06/2008 17:34:34
C:\WINDOWS\System32\mlfcache.dat -->17/06/2008 16:12:34
C:\WINDOWS\System32\KMVIDC32.DLL -->07/06/2008 18:17:58
C:\WINDOWS\System32\TuneUpDefragService.exe -->03/06/2008 11:44:51
C:\WINDOWS\System32\CONFIG.NT -->02/06/2008 13:55:53
C:\WINDOWS\System32\MRT.exe -->30/05/2008 01:35:11
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->15/05/2008 19:47:28
C:\WINDOWS\System32\jupdate-1.6.0_04-b12.log -->15/05/2008 09:56:07
C:\WINDOWS\System32\install.log -->14/05/2008 16:54:16
C:\WINDOWS\System32\ATIDEMGX.dll -->12/05/2008 17:56:04
C:\WINDOWS\System32\ati2dvag.dll -->12/05/2008 17:54:44
C:\WINDOWS\System32\atiiiexx.dll -->12/05/2008 17:53:34
C:\WINDOWS\System32\atipdlxx.dll -->12/05/2008 17:45:37

C:\WINDOWS\WindowsUpdate.log -->27/06/2008 04:15:05
C:\WINDOWS\msxml4-KB936181-enu.LOG -->27/06/2008 04:15:04
C:\WINDOWS\gdrv.sys -->27/06/2008 04:14:30
C:\WINDOWS\0.log -->27/06/2008 04:14:22
C:\WINDOWS\wiadebug.log -->27/06/2008 04:13:36
C:\WINDOWS\wiaservc.log -->27/06/2008 04:13:35
C:\WINDOWS\bootstat.dat -->27/06/2008 04:13:23
C:\WINDOWS\SchedLgU.Txt -->26/06/2008 22:31:08
C:\WINDOWS\setupapi.log -->26/06/2008 04:28:25
C:\WINDOWS\OEWABLog.txt -->25/06/2008 20:30:55
C:\WINDOWS\wmsetup.log -->25/06/2008 20:30:54
C:\WINDOWS\WMSysPr9.prx -->25/06/2008 14:09:50
C:\WINDOWS\TSC.INI -->24/06/2008 16:34:50
C:\WINDOWS\vsapi32.dll -->24/06/2008 15:57:12
C:\WINDOWS\VPTNFILE.361 -->24/06/2008 15:57:12

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 872
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll
0x61310000 0x54000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
0x4eb80000 0x1a6000 5.01.3102.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\gdiplus.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.4\program\MSVCR71.dll
0x60e20000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.4\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.4\program\MSVCP71.dll
0x10000000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.1378 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1378_x-ww_5c7e3652\MSVCR80.dll
0x029e0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x02a40000 0xab000 2.00.0000.0000 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
0x02b10000 0x3000 6.14.0010.2001 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamFRA.dll
0x019b0000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x02e10000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x43ff0000 0xa000 7.00.6000.16674 C:\WINDOWS\system32\jsproxy.dll
0x03380000 0x9000 2.00.0000.0004 C:\Program Files\TuneUp Utilities 2008\SDShelEx-win32.dll
0x035b0000 0x13000 4.57.0000.0000 C:\Program Files\7-Zip\7-zip.dll
0x036d0000 0x13000 7.00.0000.0011 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x036f0000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
0x03480000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 596
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x24000 6.14.0010.4177 C:\WINDOWS\system32\Ati2evxx.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7CAA-2361

Répertoire de C:\WINDOWS\system32

14/04/2008 04:33 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 76 338 876 416 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7CAA-2361

Répertoire de C:\WINDOWS\Downloaded Program Files

25/06/2008 13:45 <REP> .
25/06/2008 13:45 <REP> ..
15/01/2008 22:04 241 CabSA.inf
09/05/2008 16:49 65 desktop.ini
30/07/2007 19:24 295 muweb.inf
15/01/2008 22:12 296 336 rufsi.dll
02/11/2005 18:01 1 777 xscan.inf
02/11/2005 18:07 435 712 xscan53.ocx
6 fichier(s) 734 426 octets

Total des fichiers listés :
6 fichier(s) 734 426 octets
2 Rép(s) 76 338 868 224 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Program Files\\BitTornado\\btdownloadgui.exe"="C:\\Program Files\\BitTornado\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\GIGABYTE\\GEST\\run.exe"="C:\\Program Files\\GIGABYTE\\GEST\\run.exe:*:Enabled:update"
"C:\\kav\\kav7.0\\french\\setup.exe"="C:\\kav\\kav7.0\\french\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Anti-Virus 7.0"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Team17\\Worms2\\frontend.exe"="C:\\Team17\\Worms2\\frontend.exe:*:Enabled:Worms 2 Frontend"
"C:\\Program Files\\HomePlayer\\HomePlayer.exe"="C:\\Program Files\\HomePlayer\\HomePlayer.exe:*:Enabled:HomePlayer"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

REGEDIT4

[taskmgr.exe]

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 www.activexupdate.com
127.0.0.1 activexupdate.com
127.0.0.1 www.antispywareupdates.net
127.0.0.1 antispywareupdates.net
127.0.0.1 www.avpcheckupdate.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 eupdatepage.com
127.0.0.1 www.exeupdate.com
127.0.0.1 exeupdate.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 malwarewipeupdate.com
127.0.0.1 www.msupdate.net
127.0.0.1 msupdate.net
127.0.0.1 www.msupdater.net
127.0.0.1 msupdater.net
127.0.0.1 www.necessaryupdates.com
127.0.0.1 necessaryupdates.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 redirect.msupdate.net
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 securityupdatesite.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.systemupdates.net
127.0.0.1 systemupdates.net
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 update.680180.net
127.0.0.1 update.shareaza.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 updatemysettings.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 urgentsystemupdate.com
127.0.0.1 windupdates.com
127.0.0.1 www.flwupdate.com
127.0.0.1 flwupdate.com
127.0.0.1 www.mpegupdate.com
127.0.0.1 mpegupdate.com
127.0.0.1 www.movupdate.com
127.0.0.1 movupdate.com
127.0.0.1 www.pandaantivirus-2007.com
127.0.0.1 pandaantivirus-2007.com
127.0.0.1 www.pandadownload-now.com
127.0.0.1 pandadownload-now.com
127.0.0.1 www.panda-hq.com
127.0.0.1 panda-hq.com
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 04:20:00
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:db,d1,39,31,69,18,8e,6a,8c,0e,b1,59,7d,ad,e2,c6,21,96,e5,2c,be,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:94,70,71,5c,13,eb,5e,86,33,83,74,c7,d8,91,6a,3f,72,66,4a,67,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,40,a3,74,7c,50,18,3b,83,30,e6,9c,34,d4,53,2e,5b,96,..
"khjeh"=hex:80,49,9f,8b,9a,89,87,89,49,5e,de,06,9e,87,26,a4,68,a7,7b,f7,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8f,0e,cf,c1,1f,c9,fb,a4,3e,ad,28,5e,d3,03,28,89,ce,b7,ed,11,84,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:db,d1,39,31,69,18,8e,6a,8c,0e,b1,59,7d,ad,e2,c6,21,96,e5,2c,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:94,70,71,5c,13,eb,5e,86,33,83,74,c7,d8,91,6a,3f,72,66,4a,67,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,40,a3,74,7c,50,18,3b,83,30,e6,9c,34,d4,53,2e,5b,96,..
"khjeh"=hex:80,49,9f,8b,9a,89,87,89,49,5e,de,06,9e,87,26,a4,68,a7,7b,f7,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8f,0e,cf,c1,1f,c9,fb,a4,3e,ad,28,5e,d3,03,28,89,ce,b7,ed,11,84,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:db,d1,39,31,69,18,8e,6a,8c,0e,b1,59,7d,ad,e2,c6,21,96,e5,2c,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:94,70,71,5c,13,eb,5e,86,33,83,74,c7,d8,91,6a,3f,72,66,4a,67,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,40,a3,74,7c,50,18,3b,83,30,e6,9c,34,d4,53,2e,5b,96,..
"khjeh"=hex:80,49,9f,8b,9a,89,87,89,49,5e,de,06,9e,87,26,a4,68,a7,7b,f7,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8f,0e,cf,c1,1f,c9,fb,a4,3e,ad,28,5e,d3,03,28,89,ce,b7,ed,11,84,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"="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"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
132 - svchost.exe
172 - MemOptimizer.ex
388 - avgnt.exe
544 - RTHDCPL.exe
564 - csrss.exe
596 - winlogon.exe
640 - services.exe
652 - lsass.exe
852 - svchost.exe
872 - explorer.exe
924 - svchost.exe
1000 - svchost.exe
1092 - svchost.exe
1204 - spoolsv.exe
1328 - alg.exe
1332 - ati2evxx.exe
1372 - MOM.exe
1624 - ctfmon.exe
1656 - gest.exe
1952 - avguard.exe
2060 - CCC.exe
2108 - gsvr.exe
2604 - uTorrent.exe
2808 - Firefox.exe
3472 - cmd.exe

Total number of processes = 26
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E4000 - \WINDOWS\system32\hal.dll
BA5A8000 - \WINDOWS\system32\KDCOM.DLL
BA4B8000 - \WINDOWS\system32\BOOTVID.dll
B9EA7000 - spdw.sys
BA5AA000 - \WINDOWS\System32\Drivers\WMILIB.SYS
B9E8F000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
B9E60000 - ACPI.sys
B9E4F000 - pci.sys
BA0A8000 - isapnp.sys
BA670000 - pciide.sys
BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA0B8000 - MountMgr.sys
B9E30000 - ftdisk.sys
BA330000 - PartMgr.sys
BA0C8000 - VolSnap.sys
B9E18000 - atapi.sys
BA0D8000 - jraid.sys
BA0E8000 - disk.sys
BA0F8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
B9DF8000 - fltmgr.sys
B9DE6000 - sr.sys
BA108000 - PxHelp20.sys
B9DCF000 - KSecDD.sys
B9D42000 - Ntfs.sys
B9D15000 - NDIS.sys
B9CFB000 - Mup.sys
BA2B8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B8D63000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
B8D4F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B8D27000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA398000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B8D03000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA3A0000 - \SystemRoot\system32\DRIVERS\usbehci.sys
BA2C8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA2D8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA2E8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B8CE0000 - \SystemRoot\system32\DRIVERS\ks.sys
B8CC7000 - \SystemRoot\system32\DRIVERS\Rtenicxp.sys
B8CB6000 - \SystemRoot\system32\DRIVERS\serial.sys
BA544000 - \SystemRoot\system32\DRIVERS\serenum.sys
B8CA2000 - \SystemRoot\system32\DRIVERS\parport.sys
B8C3D000 - \SystemRoot\System32\Drivers\aj1mh5rg.SYS
BA7C5000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA308000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA55C000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B8B82000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA318000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA138000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BA3F8000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B8B71000 - \SystemRoot\system32\DRIVERS\psched.sys
BA148000 - \SystemRoot\system32\DRIVERS\msgpc.sys
B7829000 - \SystemRoot\system32\DRIVERS\ptilink.sys
B7821000 - \SystemRoot\system32\DRIVERS\raspti.sys
B7AA4000 - \SystemRoot\system32\DRIVERS\termdd.sys
B7819000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B7811000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BA61A000 - \SystemRoot\system32\DRIVERS\swenum.sys
B6542000 - \SystemRoot\system32\DRIVERS\update.sys
BA590000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
B7A84000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B7A44000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BA61E000 - \SystemRoot\system32\DRIVERS\USBD.SYS
A9C28000 - \SystemRoot\system32\drivers\RtkHDAud.sys
A9C04000 - \SystemRoot\system32\drivers\portcls.sys
B924B000 - \SystemRoot\system32\drivers\drmk.sys
BA5F8000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BA703000 - \SystemRoot\System32\Drivers\Null.SYS
BA5F0000 - \SystemRoot\System32\Drivers\Beep.SYS
BA378000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BA480000 - \SystemRoot\System32\drivers\vga.sys
BA5E8000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BA5F2000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BA458000 - \SystemRoot\System32\Drivers\Msfs.SYS
BA3B8000 - \SystemRoot\System32\Drivers\Npfs.SYS
B64B6000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A3759000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A3700000 - \SystemRoot\system32\DRIVERS\tcpip.sys
A36D8000 - \SystemRoot\system32\DRIVERS\netbt.sys
A36B2000 - \SystemRoot\system32\DRIVERS\ipnat.sys
A7852000 - \SystemRoot\system32\DRIVERS\wanarp.sys
A3690000 - \SystemRoot\System32\drivers\afd.sys
A6EFD000 - \SystemRoot\system32\DRIVERS\netbios.sys
BA340000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
A3665000 - \SystemRoot\system32\DRIVERS\rdbss.sys
A35F5000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BA208000 - \SystemRoot\System32\Drivers\Fips.SYS
A60C8000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BA298000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
A6F5D000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
A09A3000 - \SystemRoot\system32\DRIVERS\avipbb.sys
A2CEC000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BA63C000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
A2CD4000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
A0989000 - \SystemRoot\System32\drivers\keyscrambler.sys
A5B2D000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A2CCC000 - \SystemRoot\System32\Drivers\dump_diskdump.sys
A5B5D000 - \SystemRoot\System32\Drivers\dump_JRAID.sys
BF800000 - \SystemRoot\System32\win32k.sys
A2673000 - \SystemRoot\System32\drivers\Dxapi.sys
A5A0F000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
BA779000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\ati2dvag.dll
BF060000 - \SystemRoot\System32\ati2cqag.dll
BF0E6000 - \SystemRoot\System32\atikvmag.dll
BF146000 - \SystemRoot\System32\atiok3x2.dll
BF185000 - \SystemRoot\System32\ati3duag.dll
BF494000 - \SystemRoot\System32\ativvaxx.dll
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
A2CD0000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
9D248000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BA608000 - \SystemRoot\System32\Drivers\ParVdm.SYS
9D1B5000 - \SystemRoot\system32\DRIVERS\atksgt.sys
A6995000 - \SystemRoot\system32\DRIVERS\lirsgt.sys
9D13B000 - \SystemRoot\system32\DRIVERS\srv.sys
9D0AF000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
9D022000 - \SystemRoot\system32\drivers\wdmaud.sys
BA168000 - \SystemRoot\system32\drivers\sysaudio.sys
9D2F1000 - \??\C:\WINDOWS\gdrv.sys
A58BB000 - \??\C:\WINDOWS\system32\Drivers\ET5Drv.sys
9C8C7000 - \SystemRoot\system32\drivers\kmixer.sys
BA7EB000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 123

Liste des programmes installes

7-Zip 4.57
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Français
Adobe Shockwave Player 11
Analyseur et SDK MSXML 4.0 SP2
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Avira antivir Personal - Free Antivirus
Canon MP Navigator 3.1
Canon MP140 series
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
ccc-core-preinstall
ccc-core-static
ccc-utility
CCC Help English
CCleaner (remove only)
CDex extraction audio
Dynamic Energy Saver B7.1214.3
Fable - The Lost Chapters
Fable - The Lost Chapters
FS Global 2008 for FSX
Gigabyte Raid Configurer
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
HomePlayer 1.5.6a
InfraRecorder
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Kaspersky Online Scanner
KeyScrambler
Lock On - Flaming Cliffs
Lock On 1.1
Lock On: Air Combat Simulation
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 - FRA
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 - FRA
Microsoft Baseline Security Analyzer 2.1
Microsoft Bootvis
Microsoft Flight Simulator SimConnect Client v10.0.61242.0
Microsoft Flight Simulator X
Microsoft Flight Simulator X
Microsoft Flight Simulator X Service Pack 1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB950759)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951376)
Mise à jour de sécurité pour Windows XP (KB951698)
ModMan 6.3.0.1
Mozilla Firefox (3.0)
Mozilla Thunderbird (2.0.0.14)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
OpenAL
OpenOffice.org 2.4
PC Wizard 2008.1.84
Picasa 2
Realtek AC'97 Audio
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Skins
Spybot - Search & Destroy
The Witcher
TreeX V2
TuneUp Utilities 2008
Ultimate Traffic for FSX
VideoLAN VLC media player 0.8.6h
WebFldrs XP
Windows Imaging Component
Windows Internet Explorer 7
Windows XP Service Pack 3
Worms2
XML Paper Specification Shared Components Pack 1.0

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7CAA-2361

Répertoire de C:\Program Files

26/06/2008 19:01 <REP> .
26/06/2008 19:01 <REP> ..
09/05/2008 18:08 <REP> 7-Zip
09/05/2008 18:08 <REP> Adobe
27/05/2008 19:04 <REP> ATI Technologies
02/06/2008 15:04 <REP> Avira
09/05/2008 18:16 <REP> Canon
15/06/2008 17:25 <REP> CCleaner
09/05/2008 18:09 <REP> CDex_150
09/05/2008 16:47 <REP> ComPlus Applications
21/05/2008 11:38 <REP> Daemon Tools Lite
03/06/2008 11:44 <REP> Fichiers communs
09/05/2008 17:19 <REP> GIGABYTE
17/06/2008 16:11 <REP> Google
17/06/2008 09:25 <REP> HomePlayer
09/05/2008 18:10 <REP> InfraRecorder
09/05/2008 17:19 <REP> Intel
25/06/2008 14:25 <REP> Internet Explorer
23/06/2008 16:52 <REP> JAB_FPSx
15/05/2008 19:47 <REP> Java
26/06/2008 19:01 <REP> KeyScrambler
25/06/2008 15:45 <REP> Malwarebytes' Anti-Malware
25/06/2008 14:03 <REP> Messenger
25/06/2008 13:36 <REP> Microsoft Baseline Security Analyzer 2
25/06/2008 19:31 <REP> Microsoft Bootvis
09/05/2008 16:50 <REP> microsoft frontpage
17/05/2008 19:48 <REP> Microsoft Games
25/06/2008 14:03 <REP> Movie Maker
27/06/2008 04:15 <REP> Mozilla Firefox
27/06/2008 04:15 <REP> Mozilla Thunderbird
09/05/2008 17:33 <REP> MSBuild
09/05/2008 16:46 <REP> MSN
09/05/2008 16:46 <REP> MSN Gaming Zone
10/05/2008 16:48 <REP> MSXML 4.0
09/05/2008 17:31 <REP> MSXML 6.0
25/06/2008 14:02 <REP> NetMeeting
21/06/2008 17:34 <REP> OpenAL
15/05/2008 09:56 <REP> OpenOffice.org 2.4
25/06/2008 14:02 <REP> Outlook Express
24/06/2008 18:39 <REP> PC Wizard 2008
21/06/2008 09:02 <REP> Picasa2
09/05/2008 17:25 <REP> Realtek
12/05/2008 19:32 <REP> Realtek AC97
09/05/2008 17:33 <REP> Reference Assemblies
09/05/2008 16:48 <REP> Services en ligne
09/05/2008 18:02 <REP> Spybot - Search & Destroy
22/05/2008 08:05 <REP> The Witcher
10/05/2008 19:00 <REP> TreeX
24/06/2008 16:38 <REP> Trend Micro
25/06/2008 14:32 <REP> TuneUp Utilities 2008
06/06/2008 19:03 <REP> Ubisoft
19/05/2008 16:07 <REP> uTorrent
09/05/2008 18:11 <REP> VideoLAN
25/06/2008 14:03 <REP> Windows Media Player
25/06/2008 14:02 <REP> Windows NT
09/05/2008 16:50 <REP> xerox
0 fichier(s) 0 octets
56 Rép(s) 76 327 219 200 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7CAA-2361

Répertoire de C:\Program Files\fichiers communs

03/06/2008 11:44 <REP> .
03/06/2008 11:44 <REP> ..
09/05/2008 18:08 <REP> Adobe
10/05/2008 16:23 <REP> InstallShield
15/05/2008 09:55 <REP> Java
18/05/2008 11:34 <REP> Microsoft Shared
09/05/2008 16:48 <REP> MSSoap
01/01/2007 02:44 <REP> ODBC
09/05/2008 16:48 <REP> Services
01/01/2007 02:44 <REP> SpeechEngines
25/06/2008 14:02 <REP> System
03/06/2008 11:44 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
12 Rép(s) 76 327 219 200 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7CAA-2361

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

09/05/2008 16:54 <REP> .
09/05/2008 16:54 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 76 327 215 104 octets libres

c:\Documents and Settings\All Users\Documents\fichiers open office\instmsia.exe
c:\Documents and Settings\All Users\Documents\fichiers open office\instmsiw.exe
c:\Documents and Settings\All Users\Documents\fichiers open office\OOo_2.4.0_Win32Intel_install_wJRE_fr.exe
c:\Documents and Settings\All Users\Documents\fichiers open office\setup.exe
c:\Documents and Settings\All Users\Documents\java\jre-6u4-windows-i586-p.exe
c:\Documents and Settings\Frédéric\Application Data\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_18be6784.exe
c:\Documents and Settings\Frédéric\Application Data\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_294823.exe
c:\Documents and Settings\Frédéric\Application Data\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_2cd672ae.exe
c:\Documents and Settings\Frédéric\Application Data\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe
c:\Documents and Settings\Frédéric\Application Data\Mozilla\Firefox\Profiles\p2zb2ept.default\extensions\keyscrambler@qfx.software.corporation\installer\setup.exe
c:\Documents and Settings\Frédéric\Mes documents\8-6_xp32_dd_ccc_wdm_enu_64783.exe
c:\Documents and Settings\Frédéric\Mes documents\Firefox Setup 3.0.exe
c:\Documents and Settings\Frédéric\Mes documents\HJTInstall.exe
c:\Documents and Settings\Frédéric\Mes documents\HomePlayer-1.5.6a.exe
c:\Documents and Settings\Frédéric\Mes documents\mbam-setup.exe
c:\Documents and Settings\Frédéric\Mes documents\picasaweb-current-setup.exe
c:\Documents and Settings\Frédéric\Mes documents\vlc-0.8.6h-win32.exe
c:\Documents and Settings\Frédéric\Mes documents\cpuz_145\cpuz.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\catchme.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\diff.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\dumphive.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\find2.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\Fport.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\grep.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\gzip.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\LFiles.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\md5sums.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\pslist.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\sigcheck.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\streams.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\swreg.exe
c:\Documents and Settings\Frédéric\Mes documents\DiagHelp\tar.exe
c:\Documents and Settings\Frédéric\Mes documents\FSX Addons\Flight One Software\UTXEurope.exe
c:\Documents and Settings\Frédéric\Mes documents\JkDefrag-3.34\JkDefrag.exe
c:\Documents and Settings\Frédéric\Mes documents\JkDefrag-3.34\JkDefragCmd.exe
c:\Documents and Settings\Frédéric\Mes documents\JkDefrag-3.34\JkDefragScreenSaver.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\dxtex.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\GEditor.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\gtrcnv.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\modman.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\oggdec.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\oggenc.exe
c:\Documents and Settings\Frédéric\Mes documents\ModMan\bin\Rar.exe
c:\Documents and Settings\Marjorie\Local Settings\Temporary Internet Files\Content.IE5\IV8PE743\run[1].exe
c:\Documents and Settings\Marjorie\Local Settings\Temporary Internet Files\Content.IE5\UNYPW1QL\GEST[1].exe
c:\Documents and Settings\Marjorie\Local Settings\Temporary Internet Files\Content.IE5\UNYPW1QL\gsvr[1].exe
c:\Documents and Settings\Marjorie\Local Settings\Temporary Internet Files\Content.IE5\UNYPW1QL\help[1].exe
c:\Documents and Settings\Marjorie\Mes documents\setup.exe
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aecore.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeemu.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aegen.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aehelp.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeheur.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aeoffice.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aepack.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aerdl.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescn.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aescript.dll
c:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\FAILSAFE\aevdf.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0401\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0401\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0401\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0404\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0404\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0404\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0405\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0405\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0405\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0406\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0406\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0406\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0407\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0407\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0407\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0408\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0408\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0408\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0409\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0409\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0409\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040b\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040b\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040b\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040c\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040c\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040c\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040e\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040e\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\040e\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0410\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0410\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0410\CNMur8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0411\CNMlr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0411\CNMsr8R.dll
c:\Documents and Settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP140 series Printer\LanguageModules\0411\CNMur8R.dll
c:\Documents a