> Tous les forumsSécurité

 plusieurs virus rapport hijackthis posté
Statut du sujet : NON RESOLU Imprimer
 arnaud2501
  Posté le 21/08/2008 @ 15:12  
 Petit astucien

17 Messages

Bonjour à tous,

Voilà mes problèmes; je suis infecté par 4 fois (suivant big defender) le virus PACKER.MALWARE.CRYPTER.A, j'ai aussi 2 nouveaux icônes qui se sont installés sur le bureau ONLINE SECURITY GUIDE et SECURITY TROBLESHOOTING.

Depuis mon pc utilise 100% de l'UC tout le temps!!!, il est ralenti très fortement (même les touches du clavier). Lorsque j'allume mon pc j'ai des fenêtres DOS qui s'ouvrent et se ferment seules.

Comment effacer les fichiers que big defender trouvent comme "protégé par un mot de passe"

Merci à celui que pourra m'aider! je suis un peu nul.

Je joins le rapport Hijakthis que j'ai réalisé ce matin!!

Arnaud2501

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:52, on 21/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\PDF-XChange SDK EndUser\PDFSaver.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Propriétaire\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Propriétaire\svchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PDF-Capture.lnk = C:\Program Files\PDF-XChange SDK EndUser\PDFSaver.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ietoolpro.com/redirect.php (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BC471-E468-481D-909A-0C3EBEDE2739}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{34EFE38E-CAB2-4826-B573-63F73C0CA64C}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C5617E4-C628-4A0E-A6DE-A54D025C65B4}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AB9602A-98DC-43EA-936E-DC7BBE605361}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E0BC471-E468-481D-909A-0C3EBEDE2739}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E0BC471-E468-481D-909A-0C3EBEDE2739}: NameServer = 85.255.116.152,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.152 85.255.112.19
O18 - Protocol: Skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - http://www.hitoo.com/W/animaux/pingouins/pingouins_003.jpg
O24 - Desktop Component 1: (no name) - http://ns3780.ovh.net/~abcfunny/W/animaux/dauphins/dauphins_002.jpg

--
End of file - 7604 bytes
 Afficher le profil de arnaud2501Envoyer un message privé à arnaud2501
 
 
Publicité
 Fill  Posté le 21/08/2008 à 17:14  
  Groupe Sécurité


11728 Messages

Bonjour,

Le pc est très infecté.

1/

  • Télécharge FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

  • Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
  • Le fix va commencer, suis les messages à l'écran.
  • Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
  • Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt)

2/

  • Télécharge MSNfix (de !aur3n7) sur ton bureau.
  • Dézippe-le en faisant un clic droit puis extraire ici.
  • Double-clique sur MSNfix.bat.
  • Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.
  • Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse.
  • A l'échelle mondiale, chaque jour, des milliers de personnes sont infectées. Pour apporter des solutions rapides contre ce fléau, peux-tu s'il te plait faire parvenir l'adresse contenue dans le message MSN que tu reçu.
    Pour cela, clique ici:
    http://secubox.gateweb.org/notify/
    Saisis le lien contenu dans les messages MSN puis clique sur [Notifier]. Merci.

3/

  • Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau.
  • Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
  • Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur.
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
  • Déroule la liste des instructions ci-dessous :
    • En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
    • Appuie sur Y pour commencer le script.
    • Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log HijackThis !

Fill

Afficher le profil de Fill Voir la configuration de FillEnvoyer un message privé à Fill
 Revenir en haut de la page
 arnaud2501  Posté le 22/08/2008 à 10:29  
Petit astucien

17 Messages

Bonjour,

Grand merci pour ta réponse. Je suis en train de réaliser tes conseils.

Je te poste maintenant le rapport fix.

Username "Propri‚taire" - 22/08/2008 10:08:00 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.116.152 85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2E0BC471-E468-481D-909A-0C3EBEDE2739}
"nameserver"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{34EFE38E-CAB2-4826-B573-63F73C0CA64C}
"nameserver"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3C5617E4-C628-4A0E-A6DE-A54D025C65B4}
"nameserver"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{6AB9602A-98DC-43EA-936E-DC7BBE605361}
"nameserver"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2E0BC471-E468-481D-909A-0C3EBEDE2739}
"DhcpNameServer"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3C5617E4-C628-4A0E-A6DE-A54D025C65B4}
"DhcpNameServer"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{5B311362-DD13-463B-A78E-DE5938BCF717}
"DhcpNameServer"="85.255.116.152,85.255.112.19" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{6AB9602A-98DC-43EA-936E-DC7BBE605361}
"DhcpNameServer"="85.255.116.152,85.255.112.19" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[system]"="C:\\WINDOWS\\system32\\drivers\\services.exe"
"winlogon"="C:\\Documents and Settings\\LocalService\\svchost.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[system]"="C:\\WINDOWS\\system32\\drivers\\services.exe"
"winlogon"="C:\\Documents and Settings\\Propriétaire\\svchost.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Encore un grand merci. je continue le travail.

Arnaud2501

Afficher le profil de arnaud2501Envoyer un message privé à arnaud2501
 Revenir en haut de la page
 arnaud2501  Posté le 22/08/2008 à 14:07  
Petit astucien

17 Messages

Bonjour fill,

Je vais poster le rapport, msfix, sdfix et HijackThis.

Le pc est toujours aussi lent et il utilise toujours les 100% de l'UC sans arret.

file zipped: C:\WINDOWS\system32\drivers\services.exe -> catchme.zip -> services.exe ( 37376 bytes )
PE file "C:\WINDOWS\system32\drivers\services.exe" killed successfully
file zipped: C:\WINDOWS\system32\drivers\services.exe -> catchme.zip -> services.exe.1 ( 37376 bytes )
C:\WINDOWS\system32\drivers\services.exe is damaged PE file
PE file "C:\WINDOWS\system32\drivers\services.exe" killed successfully
read file error: C:\WINDOWS\system32\drivers\services.exe, Le fichier spécifié est introuvable.


SDFix: Version 1.218
Run by Propri‚taire on ven. 22/08/2008 at 12:48

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Schedule Service Path

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\LocalService\svchost.exe - Deleted
C:\Documents and Settings\LocalService\explorer.dll - Deleted
C:\Documents and Settings\LocalService\ms_tcp.dll - Deleted
C:\Documents and Settings\LocalService\svchost.exe - Deleted
C:\Documents and Settings\Propri‚taire\explorer.dll - Deleted
C:\Documents and Settings\Propri‚taire\ms_tcp.dll - Deleted
C:\Documents and Settings\Propri‚taire\svchost.exe - Deleted
C:\Documents and Settings\All Users\Bureau\Online Security Guide.url - Deleted
C:\Documents and Settings\All Users\Menu D‚marrer\Online Security Guide.url - Deleted
C:\Documents and Settings\All Users\Bureau\Security Troubleshooting.url - Deleted
C:\Documents and Settings\All Users\Menu D‚marrer\Security Troubleshooting.url - Deleted
C:\Documents and Settings\Propri‚taire\Mes documents\My Documents.url - Deleted
C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\My Music.url - Deleted
C:\Documents and Settings\Propri‚taire\Mes documents\Mes images\My Pictures.url - Deleted
C:\Documents and Settings\Propri‚taire\Mes documents\Mes vid‚os\My Video.url - Deleted
C:\Program Files\NetProject\myd.ico - Deleted
C:\Program Files\NetProject\mym.ico - Deleted
C:\Program Files\NetProject\myp.ico - Deleted
C:\Program Files\NetProject\myv.ico - Deleted
C:\Program Files\NetProject\ot.ico - Deleted
C:\Program Files\NetProject\ts.ico - Deleted
C:\WINDOWS\system32\a.exe - Deleted
\userinit.exe - Deleted
C:\Documents and Settings\Propri‚taire\svchost.exe - Deleted
C:\userinit.exe - Deleted
C:\WINDOWS\system32\explorer.dll - Deleted
C:\WINDOWS\system32\ms_tcp.dll - Deleted
C:\WINDOWS\system32\drivers\services.exe - Deleted

Folder C:\Documents and Settings\Propri‚taire\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed
Folder C:\Program Files\NetProject - Removed


Removing Temp Files

ADS Check :


Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 13:13:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000049
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C961819C-E164-2C16-1989-14B162105E2A}]
"fahgnfbkhnip"=hex:6d,62,6b,67,64,68,6d,66,70,64,65,68,64,70,6c,65,62,6f,69,61,6e,..
"gagekbejcolnch"=hex:6b,61,66,63,69,6a,69,67,65,6d,66,6b,6c,63,6a,6a,6e,70,67,62,64,..
"gahepapffcomcp"=hex:63,61,6a,62,6d,6a,00,67

scanning hidden files ...

C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\dao360.dll 561179 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msexch40.dll 512029 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msexcl40.dll 319517 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msjet40.dll 1507356 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msjetol1.dll 358976 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msjint40.dll 184351 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msjter40.dll 53279 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msjtes40.dll 241693 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msltus40.dll 213023 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\mspbde40.dll 348189 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msrd2x40.dll 421919 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msrd3x40.dll 315423 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msrepl40.dll 552989 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\mstext40.dll 258077 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\mswdat10.dll 831519 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\mswstr10.dll 614429 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2gdr\msxbde40.dll 348189 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msexch40.dll 512029 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msexcl40.dll 319517 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msjet40.dll 1507356 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msjint40.dll 184351 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msjter40.dll 53279 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msjtes40.dll 241693 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msltus40.dll 213023 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\mspbde40.dll 348189 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msrd2x40.dll 421919 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msrd3x40.dll 315423 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msrepl40.dll 552989 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\mstext40.dll 258077 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\mswdat10.dll 831519 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\mswstr10.dll 614429 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\backup\sp2qfe\msxbde40.dll 348189 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\download\BIT1E.tmp 1390774 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\branches.inf 705 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\eula.txt 951 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\KB950749.cat 15505 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\spcustom.dll 22752 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\update.exe 727776 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\update.url 5324 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\update.ver 3004 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\updatebr.inf 496 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\update_SP2GDR.inf 26140 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\update_SP2QFE.inf 27289 bytes
C:\WINDOWS\SoftwareDistribution\Download\ffe45341c231bb2b0219bca9e5806a77\update\updspapi.dll 394976 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\150c61e4a7f6ffd925a60156be3e1a5b\BIT36.tmp 612392 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\150c61e4a7f6ffd925a60156be3e1a5b\_downloadprogress_.state 4 bytes
C:\WINDOWS\SoftwareDistribution\Download\150c61e4a7f6ffd925a60156be3e1a5b\_useselfcontained_.state 50 bytes
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem75.CAT 12431 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 49


Remaining Services :


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\WINDOWS\\system32\\drivers\\services.exe"="C:\\WINDOWS\\system32\\drivers\\services.exe:*:Enabled:sys"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 2 Mar 2003 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 4 Mar 2001 302,108 A..H. --- "C:\Program Files\Microsoft Office\Templates\1036\~WRL3406.tmp"
Fri 22 Aug 2008 7,182,968 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\33a2d19506a0b620e80e41bee4f2370f\BIT30.tmp"
Wed 27 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\523d056929e13eacf8392044f602e53e\BIT3.tmp"
Wed 27 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\afa5528a2269b5106016bdbc1ea3037f\BIT2.tmp"
Fri 22 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\BITF.tmp"
Fri 22 Aug 2008 8,944,680 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c1b2d7e025e5f5650be345c4007fc2f3\BIT2C.tmp"
Sat 8 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f1d01f188c8132c12d35c3222b7723a4\BIT1.tmp"
Sat 10 Sep 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:36:06, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\PDF-XChange SDK EndUser\PDFSaver.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Propriétaire\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Propriétaire\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PDF-Capture.lnk = C:\Program Files\PDF-XChange SDK EndUser\PDFSaver.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: Skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - http://www.hitoo.com/W/animaux/pingouins/pingouins_003.jpg
O24 - Desktop Component 1: (no name) - http://ns3780.ovh.net/~abcfunny/W/animaux/dauphins/dauphins_002.jpg

--
End of file - 6128 bytes

Encore un grand merci.

Arnaud2501

Afficher le profil de arnaud2501Envoyer un message privé à arnaud2501
 Revenir en haut de la page
 Fill  Posté le 22/08/2008 à 22:23  
  Groupe Sécurité


11728 Messages

Salut,

Je ne vois pas le rapport MSNfix.

1/

  • Télécharge MSNfix (de !aur3n7) sur ton bureau.
  • Dézippe-le en faisant un clic droit puis extraire ici.
  • Double-clique sur MSNfix.bat.
  • Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.
  • Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse.
  • A l'échelle mondiale, chaque jour, des milliers de personnes sont infectées. Pour apporter des solutions rapides contre ce fléau, peux-tu s'il te plait faire parvenir l'adresse contenue dans le message MSN que tu reçu.
    Pour cela, clique ici:
    http://secubox.gateweb.org/notify/
    Saisis le lien contenu dans les messages MSN puis clique sur [Notifier]. Merci.

2/

  • Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
  • Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
  • Un nouveau dossier chercher va être créé.
  • Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
  • Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
  • Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
  • Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
  • Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

3/

  • Télécharge SREng (de Smallfrogs).
  • Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
  • Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
  • Clique sur "smart scan".
  • Clique sur le bouton "scan".
  • Quand l'analyse est terminée, clique sur le bouton "save reports".
  • Sauvegarde alors le rapport sur ton bureau.
  • Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

4/ Edite aussi un nouveau rapport HijackThis.

Edite les rapports en les coupant en plusieurs morceaux si un message d'erreur apparait.

Je ne répondrai sans doute que dimanche.

Fill

Afficher le profil de Fill Voir la configuration de FillEnvoyer un message privé à Fill
 Revenir en haut de la page
 Fill  Posté le 24/08/2008 à 16:03  
  Groupe Sécurité


11728 Messages

Bonjour,

Où en es-tu ?

Fill

Afficher le profil de Fill Voir la configuration de FillEnvoyer un message privé à Fill
 Revenir en haut de la page
 arnaud2501  Posté le 24/08/2008 à 17:46  
Petit astucien

17 Messages

Bonsoir fill

Je vais poster ce que tu m'as demander en 2 fois.

Msnfix : file zipped: C:\WINDOWS\system32\drivers\services.exe -> catchme.zip -> services.exe ( 37376 bytes )
PE file "C:\WINDOWS\system32\drivers\services.exe" killed successfully
file zipped: C:\WINDOWS\system32\drivers\services.exe -> catchme.zip -> services.exe.1 ( 37376 bytes )
C:\WINDOWS\system32\drivers\services.exe is damaged PE file
PE file "C:\WINDOWS\system32\drivers\services.exe" killed successfully
read file error: C:\WINDOWS\system32\drivers\services.exe, Le fichier spécifié est introuvable.

Resultat txt : DiagHelp version v1.4 - http://www.malekal.com
excute le dim. 24/08/2008 à 16:57:53,53


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->22/08/2008 13:26:12
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->22/08/2008 13:20:43
C:\WINDOWS\prefetch\KHALMNPR.EXE-29F7E061.pf -->22/08/2008 13:20:41
C:\WINDOWS\prefetch\REG.EXE-0D2A95F7.pf -->22/08/2008 13:20:40
C:\WINDOWS\prefetch\KEM.EXE-3AEDF2B9.pf -->22/08/2008 13:20:35
C:\WINDOWS\prefetch\PDFSAVER.EXE-04C0B610.pf -->22/08/2008 13:20:21
C:\WINDOWS\prefetch\NETSH.EXE-085CFFDE.pf -->22/08/2008 13:20:18
C:\WINDOWS\prefetch\WSCRIPT.EXE-32960AB9.pf -->22/08/2008 13:20:14
C:\WINDOWS\prefetch\READER_SL.EXE-3614FA6E.pf -->22/08/2008 13:20:11
C:\WINDOWS\prefetch\SVCHOST.EXE-3530F672.pf -->22/08/2008 13:20:10

C:\WINDOWS\System32\drivers\bdfndisf.sys -->24/06/2008 12:25:02
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 12:45:13
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 11:52:06
C:\WINDOWS\System32\drivers\pavboot.sys -->19/06/2008 17:24:30
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
C:\WINDOWS\System32\drivers\rmcast.sys -->8/05/2008 14:28:49

C:\WINDOWS\System32\bdod.bin -->24/08/2008 11:20:49
C:\WINDOWS\System32\wpa.dbl -->24/08/2008 10:49:48
C:\WINDOWS\System32\TZLog.log -->22/08/2008 23:34:13
C:\WINDOWS\System32\MRT.exe -->5/08/2008 11:11:02
C:\WINDOWS\System32\tzchange.exe -->14/07/2008 13:09:18
C:\WINDOWS\System32\es.dll -->7/07/2008 22:31:48
C:\WINDOWS\System32\mscms.dll -->24/06/2008 18:23:56
C:\WINDOWS\System32\mshtml.dll -->24/06/2008 10:28:24
C:\WINDOWS\System32\wininet.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\webcheck.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\urlmon.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\url.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\pngfilt.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\occache.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mstime.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\msrating.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mshtmled.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\msfeedsbs.dll -->23/06/2008 18:28:20
C:\WINDOWS\System32\msfeeds.dll -->23/06/2008 18:28:20
C:\WINDOWS\System32\jsproxy.dll -->23/06/2008 18:28:20
C:\WINDOWS\System32\inetcpl.cpl -->23/06/2008 18:28:20
C:\WINDOWS\System32\iertutil.dll -->23/06/2008 18:28:20
C:\WINDOWS\System32\iernonce.dll -->23/06/2008 18:28:19
C:\WINDOWS\System32\ieframe.dll -->23/06/2008 18:28:19
C:\WINDOWS\System32\iedkcs32.dll -->23/06/2008 18:28:18

C:\WINDOWS\WindowsUpdate.log -->24/08/2008 15:26:17
C:\WINDOWS\0.log -->24/08/2008 10:48:59
C:\WINDOWS\wiadebug.log -->24/08/2008 10:48:39
C:\WINDOWS\wiaservc.log -->24/08/2008 10:48:37
C:\WINDOWS\bootstat.dat -->24/08/2008 10:47:49
C:\WINDOWS\bdagent.INI -->23/08/2008 17:19:41
C:\WINDOWS\QTFont.for -->22/08/2008 21:25:13
C:\WINDOWS\QTFont.qfn -->22/08/2008 21:25:07
C:\WINDOWS\msnfix.txt -->22/08/2008 12:09:36
C:\WINDOWS\NeroDigital.ini -->20/08/2008 23:57:44
C:\WINDOWS\EurekaLog.ini -->11/08/2008 15:11:56
C:\WINDOWS\hpqcopy.INI -->11/08/2008 9:47:20
C:\WINDOWS\cdt_db -->17/07/2008 12:26:11
C:\WINDOWS\cdtIDC.ini -->17/07/2008 12:25:42
C:\WINDOWS\setupapi.log.2.old -->26/03/2008 0:45:33

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1136
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll
0x10000000 0xe000 3.63.0004.0000 C:\WINDOWS\system32\MsgPlusLoader.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll
0x442b0000 0x3c000 7.00.6000.16705 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10100000 0x16000 C:\Program Files\Logitech\SetPoint\lgscroll.dll
0x01280000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x013c0000 0x14000 2.00.0004.0003 C:\Program Files\Nero\Nero 7\Nero BackItUp\NBShell.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MFC71U.DLL
0x01830000 0x56000 7.10.3052.0004 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Nero\Nero 7\Nero BackItUp\MSVCP71.dll
0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL
0x01890000 0x27000 11.00.0000.0015 C:\Program Files\BitDefender\BitDefender 2008\bdshelxt.dll
0x018c0000 0x13000 11.00.0000.0012 C:\Program Files\BitDefender\BitDefender 2008\bdutils.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x018e0000 0x16000 11.00.0000.0001 C:\Program Files\BitDefender\BitDefender 2008\txmlx.dll
0x02b80000 0x1b9000 2.00.0000.0008 C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll
0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL
0x02030000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 904
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\SYSTEM32\winlogon.exe
0x10000000 0xe000 3.63.0004.0000 C:\WINDOWS\SYSTEM32\MsgPlusLoader.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\SYSTEM32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\SYSTEM32\odbcint.dll
0x011e0000 0x3b000 1.07.0017.0000 C:\WINDOWS\SYSTEM32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\SYSTEM32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\SYSTEM32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\SYSTEM32\ATL.DLL


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 60C9-4CC1

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6.144 csrss.exe
1 fichier(s) 6.144 octets
0 Rép(s) 19.211.730.944 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 60C9-4CC1

Répertoire de C:\WINDOWS\Downloaded Program Files

19/08/2008 14:17 <REP> .
19/08/2008 14:17 <REP> ..
11/05/2006 12:15 448 Antispyware.log
30/06/2008 10:39 128.256 as2stubie.dll
27/06/2008 16:47 289 as2stubie.inf
24/08/2006 08:28 141.424 asinst.dll
22/08/2006 09:06 537 asinst.inf
25/04/2006 22:54 <REP> CONFLICT.1
25/04/2006 22:55 <REP> CONFLICT.2
25/04/2006 22:55 <REP> CONFLICT.3
25/10/2007 14:16 <REP> CONFLICT.4
08/10/2002 11:57 65 desktop.ini
22/08/2003 15:41 253 EGDHTML.inf
29/05/2008 16:52 3.200.272 EPUWALcontrol.dll
28/03/2002 17:05 1.268 erma.inf
20/11/2007 17:04 1.523.536 FP_AX_CAB_INSTALLER.exe
02/02/2006 17:22 357.376 Housecall_ActiveX.dll
14/07/2003 23:57 87.096 IEAWSDC.DLL
12/07/2003 03:02 438 ieawsdc.inf
07/12/2004 01:21 752 jinstall-1_5_0_01.inf
20/01/2000 15:25 1.162 Microsoft XML Parser for Java.osd
26/10/2007 16:12 6.300 MSIWDev.inf
13/09/2002 10:56 144 QTPlugin.inf
18/02/2003 14:56 275 SaveInst.inf
29/05/2002 23:12 9.488 sporder.dll
20/11/2007 16:50 247 swflash.inf
24/11/2003 10:41 394 w3th3rb.inf
02/11/2005 19:01 1.777 xscan.inf
02/11/2005 19:07 435.712 xscan53.ocx
23 fichier(s) 5.897.509 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

25/04/2006 22:54 <REP> .
25/04/2006 22:54 <REP> ..
02/02/2006 16:22 357.376 Housecall_ActiveX.dll
1 fichier(s) 357.376 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.2

25/04/2006 22:55 <REP> .
25/04/2006 22:55 <REP> ..
02/02/2006 16:22 357.376 Housecall_ActiveX.dll
1 fichier(s) 357.376 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.3

25/04/2006 22:55 <REP> .
25/04/2006 22:55 <REP> ..
02/02/2006 16:17 621 hcImpl.inf
02/02/2006 16:22 357.376 Housecall_ActiveX.dll
2 fichier(s) 357.997 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.4

25/10/2007 14:16 <REP> .
25/10/2007 14:16 <REP> ..
21/09/2007 15:15 727 hcImpl.inf
21/09/2007 15:53 385.536 Housecall_ActiveX.dll
2 fichier(s) 386.263 octets

Total des fichiers listés :
29 fichier(s) 7.356.521 octets
14 Rép(s) 19.211.726.848 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\WINDOWS\\system32\\drivers\\services.exe"="C:\\WINDOWS\\system32\\drivers\\services.exe:*:Enabled:sys"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 16:58:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=str(7):"d\2\xfe28EP"\30\0l\00F\xe2d0\xe465\b\00012°\xffff(Contrôleurs ATA/ATAPI IDE standard)\0\0@\0RkPavproc1\0pro \0à*\xe4a8.°0`E\0\0\30\0\4\0:\0\17\0LGC_B0CB\xffd8\xffffv\tN\0\xeb60E\1\0\1(CasUD\0SO\b\0hE\xffe0\xffffv\5\32\0\xf1a8E\1\0\1eCas\0\xffd8\xffffv\r\4\0\0\0\4\0\x3030\x3030 )\xffe0\xffffv\5\32\0€E\1\0\1eCasi\b\0)\xff98\xffffn H©È\0\0ÐE\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xfe48\0\x1980\6\xffff\xffff\0\0\0\0\32\0\4\0\0\0\21\0Dvc aaees5&0¨\xffffn \x1bbe®©È\0\0ÐE\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\1\0\a\0Lgof¨\xffffn \x27f8\x5c6É\0\0`E\2\0\0\0\xf0f8'\xffff\xffff\n\0:ˆ\6\xffff\xffff"\0\0\0\30\0À\0\2\0\4\0\x3030\x3230t \xffd8\xffffv\n\22\0\x2fc0\35\1\0\1pDvcDsues\xffe0\xffff¸.˜/ˆEÀEˆEE98 \xffffn Ê \x507É\0\0\x2b10\24\1\0\0\0\xf160E\xffff\xffff\1\0\xee20Eˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\n\0\17\0LGC_ED41\xffd8\xffffv\f\4\0\x3030\x3030WS \xffffn \x28e2D\xff80È\0\0\x3020\a\1\0\0\0\xf170E\xffff\xffff\1\0ˆ.ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\5\0\17\0LGC\x335f5C15¨\xffffn JM\xff80È\0\00E\0\0\0\0\xffff\xffff\xffff\xffff\6\00Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x303043\xffd8\xffffv\tN\0\xf478E\1\0\0014CasUD??\\xffd8\xffffv\n\22\0\xf4d0E\1\0\1TDvcDsttp \xffffn 6o\xff80È\0\0\x3020\a\1\0\0\0\xf180E\xffff\xffff\1\0\xec90Eˆ\6\xffff\xffff\b\0\0\0\30\0\4\0003\0\17\0LGC_\x323020B\xffd8\xffffv\f\4n 6o\xff80È\0\08E\0\0\0\0\xffff\xffff\xffff\xffff\6\0\xdbf0Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030t\0\xfff0\xffffl\1PE\xea98\xffd8\xffffl\4ÀE\x2140&ÐE\x2141&°E\x2142&¸E\x2143&\xffd8\xffffv\n\22\0\xf6e0E\1\0\1\26DvcDs\25°\36¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\0\x2fd2T\xff98\xffffn À7©È\0\0°E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x1800\1\x1980\6\xffff\xffff\0\0\0\0\32\0\4\0\0\0\21\0Dvc aaeestcp\xffd8\xffffv\r\4\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\1\0\a\0Lgof¨\xffffn \x27f8\x5c6É\0\0`E\2\0\0\0à(\xffff\xffff\n\0¨0ˆ\6\xffff\xffff"\0\0\0\30\0\x90\0\3\0\4\0\x3030\x3330t ¨\xffffn JM\xff80È\0\0@E\0\0\0\0\xffff\xffff\xffff\xffff\6\08Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x303043\xffd8\xffffv\v\4EEE\?\xffd8\xffffv\f\4\xffffcatchme\0\0\0\xffe0\xffffv\b\xa8\0àE\3\0\1FScrt¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\x303012\xffe8\xffff6ecdc4b1\0001\b\0IM\xffd8\xffffv\v\4000F8753ED1}\0\25 )\xffe0\xffffLegacyDriver\0\0\b\0r\0\xff98\xffffn Ø\xff7©È\0\0¸E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x19c8\1\x1980\6\xffff\xffff\0\0\0\0\32\0\4\0\0\0\21\0Dvc aaeesSYS¨\xffffn N©È\0\0¸E\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\1\0\a\0Lgof \xffffn \x2496—\xe964È\0\0\x2b10\24\1\0\0\0\x1b80F\xffff\xffff\1\0/ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\4\0\17\0LGC\x325f547C¨\xffffn \x2496—\xe964È\0\0hE\0\0\0\0\xffff\xffff\xffff\xffff\6\0\x9fe0Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030 )\xfff8\xffffpE\xfff0\xffffl\1 E\x2140& \xffffn \x4db6t©È\0\0X\21\4\0\0\0\x1c60\35\xffff\xffff\0\0\xffff\xffffø\b\xffff\xffff\b\0\0\0\0\0\0\0\a\0\r\0S_DNIFPv \xffffl\bØ\21áÙ\21SH\21\x761(\21­\x9fdð\21\x21f5—è\21+2 \21‚8E:¯er 2008\NAG\¨\xffffn \x4db6t©È\0\08E\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffø\b\xffff\xffff\0\0\0\0\0\0\0\0\0\0\4\0\x3030\x3030\xdd68)¨\xffffn \x82e¬©È\0\08E\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffø\b\xffff\xffff\0\0\0\0\0\0\0\0\1\0\4\0\x3030\x3130rc¨\xffffn "\x11fd©È\0\08E\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffø\b\xffff\xffff\0\0\0\0\0\0\0\0\2\0\4\0\x3030\x3230\xda209¨\xffffn >©È\0\08E\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffø\b\xffff\xffff\0\0\0\0\0\0\0\0\3\0\4\0\x3030\x3330SC¨\xffffn \x27f8\x5c6É\0\0X\21\2\0\0\0ð\23\xffff\xffff\b\0@)è\0\xffff\xffff\24\0\0\0\30\0\xa4\0)\0\b\0Bfds¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\25 )\xfff0\xffffl\1E\x2140&\xffe8\xffff4e084afd\0\0\xffe0\xffffLegacyDriver\0\0\b\0\xf750' \xffffn
\xe156È\0\0\x3020\a\1\0\0\0\0\xffff\xffff\20\0\0\0\0\0\0\0\0\0\n\0Prmtr\0C6¨\xffffn ^\x1067©È\0\0¨E\3\0\0\0`E\xffff\xffff\0\0\xffff\xffffè\0\xffff\xffffL\0\0\0\0\0\0\0\0\0\b\0Aatr \xffffn ^\x1067©È\0\0E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x1d40\1è\0\xffff\xffff\0\0\0\0\32\0^\0\0\0\t\0NiWnp\0C:\xffd8\xffffv\r^\0èE\1\0\1\0Upridnst\xff98\xffff\Device\{0F296E15-FD44-4E01-9348-868FC1395DD8}\0F\0s\xff88\xffffn ^\x1067©È\0\0E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x20b8\1è\0\xffff\xffff\0\0\0\0\32\0^\0\1\0&\0\x337b4F3\x2d45C\x3242-\x3238\x2d36B\x3337-3\x3337\x3043C6C\\xffd8\xffffv\r^\0ðE\1\0\1RUpridns;\xff98\xffff\Device\{8D35C994-8715-44B1-A290-1C1518626C05}\0\0n \xff88\xffffn ^\x1067©È\0\0E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x2470\1è\0\xffff\xffff\0\0\0\0\32\0^\0\2\0&\0{A9\x3230\x2d419D-3\x2d41\x33396-CBE031\x500\xffd8\xffffv\r^\0øE\1\0\1EUpridnse\xff98\xffff\Device\{F6ECE410-01F2-47CC-802C-2B68FF70B502}\0\0\R\xffd8\xffffl\3`E\xa761¼PEÍjXE\x0d5cFile¨\xffffn ä'©È\0\0XE\0\0\0\0\xffff\xffff\xffff\xffff\1\0\x2818\1@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\1\0\b\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\xcfb\x5c6É\0\0X\21\2\0\0\0˜)\xffff\xffff\v\0Dè\0\xffff\xffff\24\0\0\0\36\0N\0*\0\b\0bfft¨\xffffn öÚ\xfaddÈ\0\0ˆE\0\0\0\0\xffff\xffff\xffff\xffff\6\0˜Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030\xa00)\xffd8\xffffv\tN\0hE\1\0\1(CasUD\0SO¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\000012\xffd8\xffffv\n\22\0¸\36\1\0\1\26DvcDs\26ˆ\27\xffd0\xffffSystem Bus Extender\0\xf100\24°\xffffv\tN\0ÈE\1\0\1\24CasUD\24°\25\b\0s\25\xffd8\xffffv\17$\0a\x373\0\xffe0\xffffv\6\4\2\0p\26è\0\xffff\xffff\0\0\0\0\20\0\16\0\0\0\21\0BFFt ntneky \xffe0\xffffv\5\4\26\xffe0\xffffv\b\4\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030t\0\xffd8\xffffv\v\4\0à(\1\0\1\DvcDsfen\xffe0\xffffx\27E EHEˆEEmp\xffe0\xffffv\a\22\0\xe710E\1\0\1"Srie¨\xffffn \xa8f0¢\x507É\0\0`E\0\0\0\0\xffff\xffff\xffff\xffff\6\00Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x30308A¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0??\\b\0e&\xffd8\xffffv\n\22\0\xe078E\1\0\1\26DvcDs\30°\25\xffd8\xffffv\f\4\DvcDsfen\xffc0\xffffsystem32\drivers\pavboot.sys\0\26\xffd8\xffffv\tN\0\xfdd0E\1\0\0010CasUD904\xfff0\xffffl\1¸E\x2140&\xffe0\xffffv\6\4\0\xa8\0\0\0\b\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\0\0\0€\26\xffff\xffff\5\0H\23è\0\xffff\xffff\20\0\0\0\30\0~\0,\0\b\0BSlP¨\xffffn \x177e\xe964È\0\0àE\0\0\0\0\xffff\xffff\xffff\xffff\6\0@Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x303006¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\0\x2fd2T\b\0ra\xffd8\xffffv\tN\0\xe660E\1\0\1\20CasUD\27˜\24\xffd8\xffffv\v\4\0\0\0\0\20\0\xa8\0\0\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xdac0E\3\0\1:ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\0\0\x500\22\0\0\x500¨\xffffn öÚ\xfaddÈ\0\0˜E\0\0\0\0\xffff\xffff\xffff\xffff\6\0ø.ˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030\xa00)\xffd8\xffffv\f\4\xffff\1\0\xec48Eˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\20\0\17\0LGC_CE5A\xffd8\xffffv\f\4\22è\0\xffff\xffff\0\0\0\0 \0:\0\36\0*\0Mcoo\x2074\x2e48\x3233\x2033Tlpo\x2079Sri\x2065Poieapr\xffe0\xffffv\a\22\0\x25a8\32\1\0\1.Srie\xffe0\xffffv\6\4\xffe0\xffffLegacyDriver\0m\xffd8\xffffv\tN\0\xde30E\1\0\1\24CasU\x2644\24ø\25¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\x303012\xffd8\xffffv\n\22\0\x1940"\1\0\1\xffffDvcDs\0\4\0\xffe0\xffff\xdd60E\xdd80E\xdda0E\xddc8E\xde08E\xde88E\0o@\0v\v\4\0\0\4\0\1\eCniFas40\30\0l\0èE\x2140&\b\0n\0\xffd8\xffffv\n\2\6\0Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030\1\0\xfff0\xffffl\1hE\x2140&hi\xe000EEˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\t\0\17\0LGC_DDF6¨\xffffn à™.É\0\0\xe090E\0\0\0\0\xffff\xffff\xffff\xffff\6\0\xe808Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030B8\xfff0\xffffl\1\xe0f0E\x2140&\xfff0\xffffl\1\xe340E\x2140&¨\xffffn Ô\xede6¨È\0\0\xa888/\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xe290E@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\0\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xe1e0E\3\0\1dScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\0\0\24\2\0\0\x500\v\0\0\30ý\2\0\0\x500 \0#\0\0\0\x500\22\0\0\0\x500\22\0o.\xfff8\xffff\xe1c0E\xffe0\xffffð$p'P'(/PE\xedf8EWS(\0v\tN\0`F\1\0\1vCasUD\00006 \xffffn @s.É\0\0\x2b10\24\1\0\0\0\xe158E\xffff\xffff\1\0X'ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\21\0\17\0LGC_CE20¨\xffffn ¶ƒ.É\0\0\xe2e0E\0\0\0\0\xffff\xffff\xffff\xffff\6\00Fˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030\1\0\xffe0\xffffv\a\22\0\xa9c8\26\1\0\1GSrie\xffe0\xffffv\6\4\xffe0\xffffv\5\32\0\xe420E\1\0\1vCas\xffe0\xffffLegacyDriver\00\xffd8\xffffv\tN\0\x1dd8F\1\0\1\16CasUD\rà\27\xffd8\xffffv\n\22\0è(\1\0\1\26DvcDs\30°\25\xfff0\xffffl\1\x0328F\xea98¨\xffffn Lw¯È\0\0H/\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xe5c8E@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\0\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xe518E\3\0\1\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\22\0\0\0\x500\22\0om\xfff8\xffff\xe4f8E\xffe0\xffffLegacyDriver\0a¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0 de\xffe8\xffffe022e0bb\0i¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\0r\0¨\xffffn D\xd00\x5c6É\0\0X\21\2\0\0\0\x3020\23\xffff\xffff\6\0\x8e0%è\0\xffff\xffff\24\0\0\0\30\0P\0ó\0\4\0sa )\xffe8\xffff6dcd4fc6\0N\xffe0\xffffLegacyDriver\0o\xffd8\xffffv\tN\0\xe770E\1\0\0010CasUD904¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\000645\xffd8\xffffv\n\22\0\xe7f0E\1\0\0017DvcDs,A5\xffe8\xffff6dcd4fc6\0i\xffe0\xffffPEˆE\xd9e8E\xda10E\xe748E\xe7c8E\0a\xffd8\xffffv\tN\0\xf2a8E\1\0\0015CasUD\0Cd\xffe8\xffffacbe45da\0x \xffffn \xdffa\xe9b7¨È\0\0\xe6b8E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xe998Eè\0\xffff\xffff\0\0\0\0\24\0\xa4\0\0\0\n\0Prmtrm F\xffd8\xffffv\n\xa4\0\xe8f0E\2\0\1dSrieleinX\xffffC:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\scan.dll\0\xfff8\xffff\xe8c8E\xfff0\xffffl\1\xeef0E\xe2d0\xe465¨\xffffn ¬\xea95¨È\0\0\xe6b8E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xead8E@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\1\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xea28E\3\0\1eScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\x500 \0#\0\0\0\x500\22\0\0\0\x500\22\0\0\0\xfff8\xffff\xea08E¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\25 )\xffd8\xffffv\n\22\0\xf148E\1\0\1)DvcDs))¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\000012\xffe8\xfffffbe0acab\0&\xfff8\xffff\xef48E \xffffn r\xe156È\0\0\x3020\a\1\0\0\0\xec38E\xffff\xffff\1\0\1ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\34\0\17\0LGC_1D67\xfff0\xffffl\1\xf018E\x2140&\xfff8\xffff\xdc70E\xfff0\xffffl\1\xdb70E\x2140&\xfff0\xffffl\1ØE\x2140&\xfff0\xffffl\1èE\x2140&\xfff0\xffffl\1ÈE\x2140&\xfff8\xffff˜E\xfff0\xffffl\1\xee28E\x2140&¨\xffffn ž\x5c6É\0\0X\21\1\0\0\0\xe9a0E\xffff\xffff\5\0\xdc50\23è\0\xffff\xffff\20\0\0\0\30\0\xb0\0\0\6\0Tuo\0¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0002k\0H\0v\n\4\0v\6X\0F\1\0\1lDie\0¨\xffffn D\xd00\x5c6É\0\0\b\1\0\1\0\xe490EP\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030 U\xffd8\xffffv\tN\0\xf750E\1\0\1$CasUD(\xa00)\xffd8\xffffv\n\22\0\xe850E\1\0\1)DvcDs))\xffe0\xffffLegacyDriver\0u¨\xffffn ~¼¯È\0\0\xeca8E\0\0\0\0\xffff\xffff\xffff\xffff\1\0\xebd0E@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\0\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xef68E\3\0\1\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\22\0av¨\xffffn r\xe156È\0\0\xebd8E\0\0\0\0\xffff\xffff\xffff\xffff\6\0ðEˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030F-11D1-A537-0000F8753ED1}\0CB8\xffd8\xffffv\n\22\0\xde78\30\1\0\1\0DvcDs:\W\xffe8\xffffb11d4677\0l\xfff0\xffffl\1ØE\x2140&\xfff0\xffffl\1E\x2140&\xfff0\xffffl\1ÀE\x2140&\xfff0\xffffl\1\xdf98E\x2140&\xfff8\xffffPE\xffe0\xffffLegacyDriver\0r\xfff8\xffff\xdbc8E \xffffn ²¿œÈ\0\0\x2b10\24\1\0\0\0\x2bc0\25\xffff\xffff\1\0Ð$ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\3\0\17\0LGC\x305fB\x32375C\xffe0\xffffv\b\xa8\0\xf3c8E\3\0\1\0Scrt¨\xffffn ²¿œÈ\0\0\xf1d0E\0\0\0\0\xffff\xffff\xffff\xffff\6\0ˆEˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x30301B¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0CB8\xffd8\xffffv\n\22\0\30\1\0\1\0DvcDs:\W\xffd8\xffffv\f\4\xffff\xffff\xffff\1\0\x3310\1@\b\xffff\xffff\0\0\0\0\20\0\xa8\0\0\0\b\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\22\0\0\0\x500\22\0f\0¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0812\xffe8\xffff35ec4185\0\0\xffd8\xffffv\tN\0\x1b28F\1\0\1\20CasUD\27˜\24¨\xffffn ž\x5c6É\0\0X\21\1\0\0\08\23\xffff\xffff\a\0è)è\0\xffff\xffff\20\0\0\0\30\0\xbe\0T\0\5\0XOM\26 \xffffn jCœÈ\0\0\x2b10\24\1\0\0\08\25\xffff\xffff\1\0ø\1ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\20\0\17\0LGC_CE5A\xffd8\xffffv\f\4\x3030 U\xffd8\xffffv\v\4ˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\0\0\a\0Lgof¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\x303012\xffd8\xffffv\f\4\xffff\xffff\0\0\0\0\20\0\xa8\0\0\0\b\0Scrt\xffe0\xffffv\b\xa8\0\xf870E\3\0\1\0ScrtP\xffff\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\0\x500\22\0\0\0\x500\22\0g- \xffffn ²¿œÈ\0\0\x3020\a\1\0\0\0h\23\xffff\xffff\1\0€\1ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\3\0\17\0LGC\x305fB\x32375C¨\xffffn ²¿œÈ\0\0 E\0\0\0\0\xffff\xffff\xffff\xffff\6\0@Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x30301B\xffd8\xffffv\tN\0\xf0c8E\1\0\0015CasUD\0Cd\xfff0\xffffl\1¸E\x2140&\xffe0\xffffv\6\4{8ECC055D-047F-11D1-A537-0000F8753ED1}\0.ex\xffd8\xffffv\n\22\0\xf2c8$\1\0\1oDvcDsFil\xffe0\xffff\x1b28\26E\xfa30E\xfa58E\xfa98E\xfb18E\B\xffd8\xffffv\tN\0\xeae0E\1\0\1FCasUDG\xe020G\xfff0\xffffl\1pE\x2140&¨\xffffn Ú”ãÈ\0\0\xf0f89\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\0\0\a\0Lgof¨\xffffn 4—ãÈ\0\0¸:\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\0\0\a\0Lgof¨\xffffn 4—ãÈ\0\0\x2830;\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\0\0\a\0Lgof¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\0\x303012\xffe0\xffff\x840\27€E\xf648E\xf350E\xf690E\xf6b8E r \xffffn à™.É\0\0\x2b10\24\1\0\0\0¨\23\xffff\xffff\1\0¨'ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\t\0\17\0LGC_DDF6¨\xffffn à™.É\0\0E\0\0\0\0\xffff\xffff\xffff\xffff\6\0\xe298Eˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030B8¨\xffff{8ECC055D-047F-11D1-A537-0000F8753ED1}\000645\xfff0\xffff F\xe020F˜) \xffffn ÄÝÈ\0\0\x2b10\24\1\0\0\0Ð\23\xffff\xffff\1\0P+ˆ\6\xffff\xffff\b\0\0\0\30\0\4\0\35\0\17\0LGC_DSLR¨\xffffn r\xdeb34É\0\0\xfe38E\0\0\0\0\xffff\xffff\xffff\xffff\6\0x#ˆ\6\xffff\xffff\16\0\0\0\26\0N\0\0\0\4\0\x3030\x3030om\xffd8\xffffv\v\4\0\4\0\1DCniFas\p\xffd8\xffffv\n\22\0\x2c00\35\1\0\1\26DvcDs\25°\36\xffe0\xffffh,.Ø0(E\xf4e8EHE\0\0\xfff8\xffffXE¨\xffffn Ú”ãÈ\0\080\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffffˆ\6\xffff\xffff\0\0\0\0\0\0\0\0\0\0\a\0Lgof\x338\0\1\x90\0\x9c\0\24\0000\0\2\34\1\0\24ÿ\17\0\0\xffff\xffff\xffff\0\0\0\0\30\0\4\0P\\21\0LGC_KAPO1v06\x220\0n \x22de\x273e\x5c9É\0\0\x00a0F\0\0\0\0\xffff\xffff\xffff\xffff\a\0ˆE\xffff\xffff\xffff\xffff\0\0\0\0\26\0X\0P\\4\0\x3030\x3030roÈ\0{8ECC055D-047F-11D1-A537-0000F8753ED1}\0S\TX\0n „\x273b\x5c9É\0\0˜\1\0\0\0\0\xffff\xffff\xffff\xffff\0\0\xffff\xffff\xffff\xffff\xffff\xffff\0\0\0\0\0\0\0\0\0\0\4\0\x30305C:\0{8ECC055D-047F-11D1-A537-0000F8753ED1}\0058\0\0\0\xb8\0C:\xb0\0INDOWS\TEMP\httproxycc_tmp0626BEB81219568425\0\0\0tmpH\000664A781219482557\0\0\0ern\30\0 (ICS)\0E10 \xffffn \xe1b0“éÉ\0\0\xeda0E\0\0\0\0\xffff\xffff\xffff\xffff\3\0È\23\x30c8\34\xffff\xffff\0\0\0\0\24\0V\0\0\0\n\0Prmtr914è\0\??\C:\WINDOWS\TEMP\httproxy_srv06232B281219568238\0\0\??\C:\WINDOWS\TEMP\httproxy_srv06232B281219568238\0\0\??\C:\WINDOWS\TEMP\httproxy_srv062292901219568205\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0626BEB81219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0626BEB81219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0627EFE81219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0627EFE81219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062757501219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062757501219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062888801219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062888801219568425\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062921181219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062921181219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062A52481219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062A52481219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0629B9B01219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp0629B9B01219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062B83781219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062B83781219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062C1C101219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062C1C101219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062CB4A81219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062CB4A81219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062D4D401219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062D4D401219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062DE5D81219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062DE5D81219568426\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062E7E701219568427\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062E7E701219568427\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062F17081219568427\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062F17081219568427\0\0\??\C:\WINDOWS\TEMP\httproxycc_tmp062FAFA01219568427\0\0\??\C:\"

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C961819C-E164-2C16-1989-14B162105E2A}]
"fahgnfbkhnip"=hex:6d,62,6b,67,64,68,6d,66,70,64,65,68,64,70,6c,65,62,6f,69,61,6e,..
"gagekbejcolnch"=hex:6b,61,66,63,69,6a,69,67,65,6d,66,6b,6c,63,6a,6a,6e,70,67,62,64,..
"gahepapffcomcp"=hex:63,61,6a,62,6d,6a,00,67

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
472 - svchost.exe
576 - xcommsvr.exe
880 - csrss.exe
904 - winlogon.exe
948 - services.exe
960 - lsass.exe
1116 - svchost.exe
1136 - explorer.exe
1192 - svchost.exe
1312 - svchost.exe
1520 - svchost.exe
1748 - aawservice.exe
1868 - cmd.exe
2020 - spoolsv.exe
2148 - alg.exe
2240 - iexplore.exe
2792 - svchost.exe
2804 - bdagent.exe
3124 - ctfmon.exe
3220 - taskmgr.exe
3708 - livesrv.exe
3912 - rundll32.exe

Total number of processes = 23
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F8A38000 - \WINDOWS\system32\KDCOM.DLL
F8948000 - \WINDOWS\system32\BOOTVID.dll
F84E8000 - ACPI.sys
F8A3A000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F84D7000 - pci.sys
F8538000 - isapnp.sys
F8B00000 - pciide.sys
F87B8000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F8548000 - MountMgr.sys
F84B8000 - ftdisk.sys
F87C0000 - PartMgr.sys
F87C8000 - pavboot.sys
F87D0000 - sfsync02.sys
F8558000 - VolSnap.sys
F84A0000 - atapi.sys
F8568000 - disk.sys
F8578000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F8480000 - fltmgr.sys
F846E000 - sr.sys
F8457000 - KSecDD.sys
F843F000 - 878BDA.sys
F841C000 - \WINDOWS\System32\Drivers\ks.sys
F894C000 - \WINDOWS\System32\Drivers\BdaSup.SYS
F838F000 - Ntfs.sys
F8362000 - NDIS.sys
F87D8000 - sfhlp02.sys
F8351000 - sfdrv01.sys
F8336000 - Mup.sys
F85D8000 - \SystemRoot\System32\DRIVERS\intelppm.sys
F77DD000 - \SystemRoot\System32\DRIVERS\ialmnt5.sys
F77C9000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F88B8000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
F77A6000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F88C0000 - \SystemRoot\System32\DRIVERS\usbehci.sys
F85F8000 - \SystemRoot\system32\DRIVERS\dlkfet5b.sys
F88D8000 - \SystemRoot\system32\DRIVERS\DtvVideo.sys
F8A10000 - \SystemRoot\system32\DRIVERS\DtvAudio.sys
F7795000 - \SystemRoot\System32\DRIVERS\serial.sys
F8A14000 - \SystemRoot\System32\DRIVERS\serenum.sys
F88E0000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7781000 - \SystemRoot\System32\DRIVERS\parport.sys
F8608000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F8A18000 - \SystemRoot\system32\DRIVERS\L8042Kbd.sys
F88E8000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F8618000 - \SystemRoot\system32\DRIVERS\L8042mou.Sys
F8628000 - \SystemRoot\system32\DRIVERS\LMouKE.Sys
F88F0000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F8638000 - \SystemRoot\System32\Drivers\AFS2K.SYS
F8648000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F8658000 - \SystemRoot\System32\DRIVERS\redbook.sys
F8668000 - \SystemRoot\System32\Drivers\Imapi.SYS
F7760000 - \SystemRoot\system32\drivers\STAC97.sys
F773C000 - \SystemRoot\system32\drivers\portcls.sys
F8678000 - \SystemRoot\system32\drivers\drmk.sys
F8BDD000 - \SystemRoot\System32\DRIVERS\audstub.sys
F8A62000 - \SystemRoot\System32\Drivers\RootMdm.sys
F88F8000 - \SystemRoot\System32\Drivers\Modem.SYS
F8688000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F8A24000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7725000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F8698000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F86A8000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F8908000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7714000 - \SystemRoot\System32\DRIVERS\psched.sys
F86B8000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F8910000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F8918000 - \SystemRoot\System32\DRIVERS\raspti.sys
F86C8000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7700000 - \SystemRoot\system32\DRIVERS\bdfndisf.sys
F8A68000 - \SystemRoot\System32\DRIVERS\swenum.sys
F76A7000 - \SystemRoot\System32\DRIVERS\update.sys
F8A34000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F86D8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
EF5A7000 - \SystemRoot\system32\drivers\ialmsbw.sys
EF596000 - \SystemRoot\system32\drivers\ialmkchw.sys
F86F8000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F8A6A000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F8930000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F8A6C000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8C8F000 - \SystemRoot\System32\Drivers\Null.SYS
F8A6E000 - \SystemRoot\System32\Drivers\Beep.SYS
F8940000 - \SystemRoot\System32\drivers\vga.sys
F8A70000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A72000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F87F8000 - \SystemRoot\System32\Drivers\Msfs.SYS
F8800000 - \SystemRoot\System32\Drivers\Npfs.SYS
F89C8000 - \SystemRoot\System32\DRIVERS\rasacd.sys
EF53B000 - \SystemRoot\System32\DRIVERS\ipsec.sys
EF4E3000 - \SystemRoot\System32\DRIVERS\tcpip.sys
EF4BE000 - \??\C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys
EF49D000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F8718000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F89DC000 - \SystemRoot\system32\DRIVERS\usbscan.sys
EF475000 - \SystemRoot\System32\DRIVERS\netbt.sys
EF453000 - \SystemRoot\System32\drivers\afd.sys
F8728000 - \SystemRoot\System32\DRIVERS\netbios.sys
EF428000 - \SystemRoot\System32\DRIVERS\rdbss.sys
EF3B9000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F8748000 - \SystemRoot\System32\Drivers\Fips.SYS
F7881000 - \SystemRoot\System32\Drivers\Cdfs.SYS
EF379000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A86000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F827F000 - \SystemRoot\System32\drivers\Dxapi.sys
F8838000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F8B38000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9E1000 - \SystemRoot\System32\ialmdnt5.dll
BF9D5000 - \SystemRoot\System32\ialmrnt5.dll
BF9F9000 - \SystemRoot\System32\ialmdev5.DLL
BFA1D000 - \SystemRoot\System32\ialmdd5.DLL
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
EF11B000 - \SystemRoot\System32\DRIVERS\atmuni.sys
EF281000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
EF319000 - \SystemRoot\System32\DRIVERS\rawwan.sys
EEF87000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F8AAE000 - \SystemRoot\System32\Drivers\ParVdm.SYS
EEE45000 - \SystemRoot\System32\DRIVERS\srv.sys
EF349000 - \SystemRoot\System32\DRIVERS\secdrv.sys
EECF0000 - \SystemRoot\system32\drivers\wdmaud.sys
EEF27000 - \SystemRoot\system32\drivers\sysaudio.sys
EE781000 - \SystemRoot\System32\Drivers\HTTP.sys
EE775000 - \??\C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys
EE3E4000 - \SystemRoot\system32\DRIVERS\bdfsfltr.sys
EE36E000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F8858000 - \SystemRoot\system32\DRIVERS\usbprint.sys
EE343000 - \SystemRoot\system32\drivers\kmixer.sys
F8C7F000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 130

Liste des programmes installes

3DAquaClock
Ad-Aware 2007
Adobe Acrobat 5.0
Adobe Flash Player ActiveX
Adobe Photoshop Album 2.0 Edition Découverte
Adobe Reader 7.0.9 - Français
Anne Geddes Baby Bunnies Screen Saver
Anne Geddes Pure Screen Saver
Archiveur WinRAR
ArcSoft Panorama Maker 3
BitDefender Total Security 2008
CCleaner (remove only)
Correctif pour Windows Internet Explorer 7 (KB947864)
Creative Jukebox Driver
Creative Removable Disk Manager
Creative System Information
Creative Zen Micro
CyberLink MPEG-2 video decoder v5.0
Dauphins
Disque de souvenirs HP
DVB Dream version 1.4h
DVD Shrink 3.2
eMule
FileZilla (remove only)
Google Talk (remove only)
HijackThis 2.0.2
hp deskjet 940c series (Remove only)
HP Photo and Imaging 2.2 - Scanjet 3970 Series
Intel(R) 845G Chipset Graphics Driver Software
InterVideo MPEG-2 Video Decoder v5.3
J2SE Runtime Environment 5.0 Update 6
Language Pack for Ad-aware 6
Lecteur Windows Media 11
Lexibase Collins Français-Allemand
LiveReg (Symantec Corporation)
Logitech Print Service
Logitech QuickCam
Logitech SetPoint
Macromedia Flash Player 8
Messenger Plus! 3
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 French Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Data Access Components KB870669
Microsoft IntelliPoint 4.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 CD-ROM 2
Microsoft Office Professional Edition 2003
Microsoft Office XP Media Content
Microsoft Office XP Professional avec FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0
Mozilla (1.7.5) (fr)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero - Burning Rom
Nero 7 Demo
Nikon Message Center
Norton AntiSpam
Norton AntiSpam
Norton Internet Security
Norton Internet Security
Panda ActiveScan
Panda ActiveScan 2.0
Parentèle version 5
PDF-XChange 2.5 Driver Install
Pilotes Audio SigmaTel AC97
Power IEv3
PowerDVD
Presto! PageManager
Produit Suite driver modem ADSL
Programme de gestion Camera de Logitech®
QuickTime
RealPlayer
ShareIns
Shockwave
Skype 3.0
Skype add-on for IE
Skype Plugin Manager
SLD Codec Pack
Sprint & FineReader 5.0 Office Try&Buy
Van Dale Groot woordenboek hedendaags Nederlands
vanBasco's Karaoke Player
WebFldrs XP
Windows & Internet Cleaner 3.02
Windows Communication Foundation
Windows Communication Foundation Language Pack - FRA
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage v1.3.0254.0
Windows Genuine Advantage Validation Tool (KB892130)
Windows Imaging Component
Windows Internet Explorer 7
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (FRA)
Windows Workflow Foundation
Windows Workflow Foundation FR Language Pack
Windows XP Service Pack 2
Xanadu
XML Paper Specification Shared Components Language Pack 1.0
XML Paper Specification Shared Components Pack 1.0



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 60C9-4CC1

Répertoire de C:\Program Files

22/08/2008 13:13 <REP> .
22/08/2008 13:13 <REP> ..
08/02/2004 18:35 <REP> 3Dscreensaver.com
22/11/2003 08:55 <REP> 3M