× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Demande d'aide pour diagnostic HijackThis.logSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
pc_account
  Posté le 15/01/2008 @ 08:30 
Aller en bas de la page 
Petite astucienne

Bonjour a tous,

Voici l'historique de mes ennuis suivi par le fichier log HijackThis.
Je n'arrive pas a trouver le bug.
Merci beaucoup de votre aide

Pc_Acc

-------------------------------

Suite a déménagement, mon Pc a perdu la date et l'heure. La pile a du se déconnecter temporairement durant le transport
A la remise en route je ne m'en suis pas tout de suite rendu compte.
Mon PC est protégé par anti-virus et parefeu, mais je me demande si la date erronée n'a pas crée une vulnérabilité.

Des la remise en route les problemes sont apparus.

Il y a eu un debut d'installation automatique de Windows Genuine Advantage depuis go.microsoft.com, mais que j'ai supprimé
car je ne connaissais pas le produit.

La premiere anomalie a été l'affichage non demandé d'un écran RealPlayer.

Les autres symptomes sont:

- Le curseur passe en mode sablier pendant 3 secondes toutes les cinq secondes, et ralentit fortement le PC.

Le navigateur semble aussi soumis a un timeout, si je reste sur une selection de favoris sans valider par exemple, au bout de 5 secondes les fenetres de selections se ferment.

En fait je m'apercois que ce timeout affecte meme l'affichage de ce fichier que j'edite avec Notepad. Apres 5 secondes il se raffraichit.


- Plusieurs fois par heure ouverture soudaine d'une centaine de fenetres d'un meme site de pub. Le site de pub change a la prochaine salve.

- La connection internet montre un tres fort débit entrant, avec des pauses. J'ai pu voir que c'est c:\windows qui grossit,
mais je n'ai pas trouvé quel fichier ou sous-repertoire est concerné.
(J'ai fait afficher tous les fichiers cachés).

- Le malware empeche l'installation et l'execution de certains programmes en mode normal ( mais en mode sans echec ca marche):
Le message est "unknown handle" pour HighJackThis par exemple. Impossible de l'exécuter.
Meme chose pour SpyBot.

-J'ai essayé de faire des scans en-ligne par des sites internets d'antispyware,
mais la fenetre de download s'affiche moins d'une seconde, impossible d'y acceder.


-Le gestionaire de taches se lance par CTRL+ALT+DEL, l'icone est présente mais impossible d'avoir son affichage.

J'ai suivi les instructions: CCleaner et AVG antispyware en mode sans échec. Beaucoup de problemes ont été décelées, et corrigés.
Mais sans amélioaration sur les anomalies que j'ai mentionnées.


Au début j'ai pu installer Hijackthis, le lancer, mais assez vite l'exécution est devenue impossible (handle inconnue).
Je pouvais réinstaller, mais l'exécutable était toujours interdit d'exécution.
Puis le script d'installation a rendu aussi cette meme erreur. C'est comme si le malware apprenait.
L'installation de SpyBot a été interrompue, j'ai du la faire en mode sans-échec,
mais elle reste incomplete car les updates demandent une connection net:
Or en mode normal, Spybot rend aussi un message d'erreur sur l'handle.


En lancant Hijack juste apres un reboot mode normal, j'ai finalement réussi a le lancer (mais ce n'est pas vrai a tous les coups).
J'ai supprimé cftmon, TKBELLEXE (ce drnier car j'ai cru voir qu'il était lié a Real) mais ils se réinstallent dans le registre.

Je pensais Tkbell ou cftmon la cause des ennuis, mais ils sont réinstallés dans le registre par autre chose apparammemt !?

Pr exemple: Le Parefeu signale apres reboot la tentative d'écrire TKBELLEXE dans le registre suivante (que je refuse):
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
Version:0.1.0.3427
RealNetworks, Inc.
PID: 804 TID: 1936

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TKBELLEXE
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TKBELLEXE

---------------------------------------------

Voici le fichier Highjackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:41, on 2008-1-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\lenovoVGA.exe
C:\WINDOWS\system32\phoneflash.exe
C:\WINDOWS\system32\Watchreport.exe
C:\WINDOWS\system32\phonemouse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\WINDOWS\system32\powerDELL.exe
C:\WINDOWS\system32\powerdriver.exe
C:\Program Files\Service Reanimator\Sreaserv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRAM FILES\RISING\RAV\RavMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\QQDownload\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\SSPlus\SAddr1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft Class - {895A5924-74BA-43CD-B585-B031B44ECD66} - C:\WINDOWS\system32\policedriver.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\QQDownload\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: 词霸 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: 卓越 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O11 - Options group: [TBH] 中文搜搜
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BFAA61B-5C83-4865-8281-D8BDBF863061} (PGEdit Class) - http://www.gnetpg.com/PlugIn/PG_ATL.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - http://www.00110.net/tj2007/00110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lenovoVGA - Unknown owner - C:\WINDOWS\system32\lenovoVGA.exe
O23 - Service: phoneflash - Unknown owner - C:\WINDOWS\system32\phoneflash.exe
O23 - Service: phonemouse - Unknown owner - C:\WINDOWS\system32\phonemouse.exe
O23 - Service: powerDELL - Unknown owner - C:\WINDOWS\system32\powerDELL.exe
O23 - Service: powerdriver - Unknown owner - C:\WINDOWS\system32\powerdriver.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe

--
End of file - 8337 bytes



Publicité
Ananda
 Posté le 15/01/2008 à 10:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour pc_account

As-tu le rapport AVG?

As-tu lancer un scan avec ton antivirus?

******************

Faire ceci, s'il te plait !

  • Ouvrir l'Explorateur Windows: Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
  • Cliquer sur Outils > Options des dossiers > Affichage.
  • Sélectionner :
    • cocher : Afficher les fichiers et dossiers cachés.
    • décocher : Masquer les extensions des fichiers dont le type est connu.
    • décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
  • Cliquer sur Appliquer et Ok.

* Et tester ceci: C:\WINDOWS\system32\lenovoVGA.exe

  • Cliquer sur ce logo
  • Cliquer sur Parcourir et suivre le chemin du ou des fichier(s) que j’ai désigné(s).
  • Cliquer sur Envoyer le fichier
  • Au message Envoi de fichier, ne pas fermer cette fenêtre.
  • Si vous avez ce message : mis en file d'attente > Patience!
  • Au bout de quelques minutes, vous aurez dans l'encadré: Situation actuelle: terminé, cliquer sur Formaté
  • Une nouvelle fenêtre de votre navigateur apparaîtra...
  • Dans la nouvelle fenêtre, cliquer sur cette image :
  • Faire un clic droit sur la page, choisir => Sélectionner tout, puis encore clic droit => Copier...
  • Enfin , clic droit => Coller le(s) résultat(s) dans le Bloc-Notes ( Il est nécessaire de passer par le Bloc-notes pour le rapport)
  • Copier/coler ce fichier dans votre prochaine réponse.


* Recommencer pour:

C:\WINDOWS\system32\phoneflash.exe

C:\WINDOWS\system32\phonemouse.exe

C:\WINDOWS\system32\powerDELL.exe

C:\WINDOWS\system32\powerdriver.exe

A+

pc_account
 Posté le 15/01/2008 à 12:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Ananda,

J'ai fait une analyse totale d'antivirus (Rising) qui n'a trouvé.

Rapport AVG? je n'ai pas réussi a savoir ce dont il s'agit.

Voici le résultat VirusTotal sur les fichiers que tu as demandé.

Merci beaucoup pour cette aide.

Pc_acc

--------------------------------


Fichier lenovoVGA.exe reçu le 2008.01.15 11:37:34 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

-------------------


Fichier phoneflash.exe reçu le 2008.01.15 11:49:52 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6



------------------------------------------------

Fichier phonemouse.exe reçu le 2008.01.15 11:52:18 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

------

Fichier powerDELL.exe reçu le 2008.01.15 11:56:44 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

-----------------------------


Fichier powerdriver.exe reçu le 2008.01.15 12:00:27 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6



Ananda
 Posté le 15/01/2008 à 12:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

1/ Télécharge sur ton bureau DiagHelp.zip sur ton bureau
http://www.malekal.com/download/DiagHelp.zip

  • !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout.
  • Un nouveau dossier "DiagHelp" va être créé.
  • Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) .
  • Si une fenêtre de licences SigCheck s'ouvre... accepte, si tu as un parefeu qui demande si SigCheck tente de se connecter à internet, accepte.
  • Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes.
  • Lorsque l'analyse sera terminé... Il peut t'être demandé d'envoyer un fichier contenant des fichiers infectieux.
    Envoie le fichier (si ça ne fonctionne pas.. continue la procédure) puis retourne sur la fenêtre noire, suis les instructions en appuyant sur une touche pour obtenir le rapport dans le bloc-note.
      • Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
      • Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
      • A nouveau menu Edition / copier
      • Dans un nouveau message ici, faire un clic droit / coller

*** A la fin de ce rapport, tu auras (sûrement) une adresse pour joindre un fichier ZIP, fais-le. ***

*******************

Imprime ce qui suit

2/ Redémarre en mode sans échec

Ensuite

3/ Va dans
Démarrer\exécuter\tapes services.msc
recherche les lignes avec

lenovoVGA

Double clic dessus
Type de démarrage: Désactivé
[u]Statut du service: Arréter
"Appliquer" puis "ok".

Fais la même chose pour

phoneflash

Service: phonemouse

Service: powerDELL

powerdriver

***********************

4/ * Assure toi d'avoir accès à tous les fichiers
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachés
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

* et Supprime le(s) fichiers(s) ou dossier(s) en gras ci-dessous si il(s) est (sont) présent(s) :

C:\WINDOWS\system32\lenovoVGA.exe
C:\WINDOWS\system32\phoneflash.exe
C:\WINDOWS\system32\phonemouse.exe
C:\WINDOWS\system32\powerDELL.exe
C:\WINDOWS\system32\powerdriver.exe

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir
Retourne à la fenêtre /Options des dossiers / Affichage/paramétres avancés
- coches --- Ne pas afficher les fichiers et dossiers cachés---
- coches --- Masquer les fichiers protégés du systéme d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

****************

5/ Redémarre ton PC en mode normal et fais un scan en ligne si possible

Bitdefender

* fais un scan antivirus en ligne ICI et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
*
Dans la nouvelle fenêtre, clique sur I agree
*
La fenêtre change encore, clique sur Click here to scan
*
Les signatures se chargent, etc.

Tuto (merci Morgane)

****************

6/ poste les rapports

- Diaghelp

- Bitdefender

- et un nouveau rapport hijackthis

A+



Modifié par Ananda le 15/01/2008 12:54
pc_account
 Posté le 16/01/2008 à 18:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne


Bonjour Ananda,

J'ai bien suivi la procedure hier. Cependant impossible d'executer DiagHelp en mode normal.
Je l'ai fait en mode sans echec mais pour le faire avec les services demarres je l'ai refait apres la suppression des phoneflash phonemouse...
Pas de doute, ils sont bien partie du probleme,
car apres cela les fichiers interdits d'execution en mode normal (highjack, Spybot,...) ont refonctionne. Les symptomes ont disparu.

L'envoi sur update s'est soldee trois fois de suite par fichier invalide. Pourtant il est a priori normal.

Tres vite, le fait d'etre en ligne a recreer le probleme, en fait un fichier phoneflash s'est reinstalle.
Apres avoir suivi la meme procedure , un autre est reapparu sous le nom de AntilabAsdter.exe sous c:/windows/system32.
Donc j'ai a nouveau supprimme ce nouveau fichier.

J'ai commence la procedure de Bitdefender, mais ca a tres vite plante.
Le malware ferme regulierement toutes les fenetres du navigateur quand il ouvre les siennes.

J'ai donc repurge, charge les nouvelles signatures de Rising et fait un scanning en offline.
J'ai supprime les fichiers temporaires du navigateur, les cookies mais j'ai ete surpris de voir que Rising trouvait
des trojans dans Content.IE.

En fait le malware a cree de nouveaux fichiers temporaires internet sous windows/TEMP.
une trentaine de trojans ont ete mis en quarantaine par Rising.
Pour aide au diagnostic je les ai mis en archive (ils sont vus par Bidefender dans le rapport ci-joint).

Apres cette purge, j'ai pu faire un scan complet par Bitdefender dont je joins le resultat ci dessous.


Malgre cette double purge, un fichier watchdriver.exe vient d'apparaitre en O4 dans le rapport Hijack.

Les symptomes sont les memes: Rising est bloque, le gestionnaire de taches ne s'affiche pas plus d'une seconde. Des sites de pub s'affichent par dizaine par poussee toutes les 10 minutes ...

J'ai pu demarrer un scan de watchdriver.exe sur Virustotal, mais n'ai pas pu aller plus loin que 4 ou 5 tests: Avast repond: WIN32:Agent-GJW

Je vais donc le supprimer.

Je viens d'executer a nouveau Hijack et DiagHelp

En raison de se longueur je fais une reponse suivante avec DiagHelp.

Voici ci dessous Hijack et BitDefender.

Merci de ta patience.


Pc_acc

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:15, on 2008-1-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Service Reanimator\Sreaserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\avpFirewall.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\avpFirewall.exe
C:\avpFirewall.exe
C:\Program Files\Real\RealPlayer\realplay.exe
C:\avpFirewall.exe
C:\avpFirewall.exe

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\QQDownload\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft Class - {895A5924-74BA-43CD-B585-B031B44ECD66} - C:\WINDOWS\system32\policesystem.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - Startup: Watchdriver.exe
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\QQDownload\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: 词霸 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: 卓越 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BFAA61B-5C83-4865-8281-D8BDBF863061} (PGEdit Class) - http://www.gnetpg.com/PlugIn/PG_ATL.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - http://www.00110.net/tj2007/00110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe

--
End of file - 6363 bytes

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

BitDefender Online Scanner



Rapport d'analyse généré à: Wed, Jan 16, 2008 - 22:43:14





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;







Statistiques

Temps
03:02:19

Fichiers
466073

Directoires
13403

Secteurs de boot
4

Archives
4854

Paquets programmes
26368




Résultats

Virus identifiés
16

Fichiers infectés
55

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
55




Info sur les moteurs

Définition virus
890477

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
7

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Infect?par: Generic.Malware.SBE!dldg.F34CB74E

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Echec de la désinfection

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Supprim

C:\windows\system32\inf\scrsys080112.scr
Infect?par: Generic.Onlinegames.5.E245CC52

C:\windows\system32\inf\scrsys080112.scr
Echec de la désinfection

C:\windows\system32\inf\scrsys080112.scr
Supprim

C:\windows\system\sslxpes080112.exe
Infect?par: Generic.Onlinegames.5.E245CC52

C:\windows\system\sslxpes080112.exe
Echec de la désinfection

C:\windows\system\sslxpes080112.exe
Supprim

C:\windows\home.sys
Infect?par: Generic.Botget.453CCF99

C:\windows\home.sys
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Infect?par: Dropped:Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Infect?par: Exploit.HTML.Agent.AD

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Infect?par: Trojan.Generic.60645

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Echec de la désinfection

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Supprim

D:\Documents and Settings\All Users\Documents\Softcam152.zip
Mis ?jour

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Détect?avec: Application.Passview.A

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Echec de la désinfection

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Supprim

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr
Echec de la mise ?jour

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Infect?par: Trojan.Dropper.Agent.BCT

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Echec de la désinfection

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Supprim

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Infect?par: Win32.Worm.Ice.A

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Echec de la désinfection

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Supprim

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Infect?par: Trojan.Dropper.Agent.BCT

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Echec de la désinfection

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Supprim

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Infect?par: Win32.Worm.Ice.A

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Echec de la désinfection

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Supprim

D:\RAVBIN\RAV00011.BIN
Infect?par: Exploit.VBS.Phel.C

D:\RAVBIN\RAV00011.BIN
Echec de la désinfection

D:\RAVBIN\RAV00011.BIN
Supprim





pc_account
 Posté le 16/01/2008 à 18:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Et voici DiagHelp...

Merci

Pc_acc


DiagHelp version v1.4 - http://www.malekal.com
excute le ??? 2008-01-17 ? 0:05:59.82


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->2006-5-30 18:05:30
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->2006-5-30 18:05:28
C:\WINDOWS\prefetch\MMC.EXE-3B59A269.pf -->2006-5-30 18:05:12
C:\WINDOWS\prefetch\CONIME.EXE-2543A6D8.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\CTFMON.EXE-05E57A5E.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\MIXER.EXE-0034D2AC.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\SYSTRAY.EXE-0E2413B4.pf -->2006-5-30 18:05:02
C:\WINDOWS\prefetch\MSIEXEC.EXE-330626DC.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\AUTOHAL.EXE-0A0BD524.pf -->2006-5-30 18:04:54

C:\WINDOWS\System32\drivers\HookNtos.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HOOKREG.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HookHelp.sys -->2008-1-11 16:48:20
C:\WINDOWS\System32\drivers\HookSys.sys -->2007-11-28 16:42:48
C:\WINDOWS\System32\drivers\secdrv.sys -->2007-11-13 18:25:52
C:\WINDOWS\System32\drivers\tcpip.sys -->2007-10-31 1:20:56
C:\WINDOWS\System32\drivers\HookCont.sys -->2007-10-25 19:46:18
C:\WINDOWS\System32\BsMain.ini -->2008-1-16 20:00:58
C:\WINDOWS\System32\mwisys32_080112.dll -->2008-1-16 0:30:24
C:\WINDOWS\System32\lwisys16_080112.dll -->2008-1-16 0:30:00
C:\WINDOWS\System32\mywehit.ini.tmp -->2008-1-16 0:26:52
C:\WINDOWS\System32\mywehit.ini -->2008-1-16 0:24:22
C:\WINDOWS\System32\who.exe -->2008-1-15 20:00:42
C:\WINDOWS\System32\oky.exe -->2008-1-15 19:50:46
C:\WINDOWS\System32\PerfStringBackup.INI -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfh0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfc0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfh009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfc009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\d3d8caps.dat -->2008-1-15 15:52:04
C:\WINDOWS\System32\fntcache.dat -->2008-1-14 17:45:38
C:\WINDOWS\System32\wpa.dbl -->2008-1-13 23:18:30
C:\WINDOWS\System32\SSup.dll -->2008-1-8 16:02:34
C:\WINDOWS\System32\Scrax1.dll -->2008-1-7 10:47:54
C:\WINDOWS\System32\mrt.exe -->2008-1-3 2:21:36
C:\WINDOWS\System32\TZLog.log -->2007-12-21 3:02:26
C:\WINDOWS\System32\bsmain.exe -->2007-11-28 16:43:06
C:\WINDOWS\System32\RavExt.dll -->2007-11-16 17:57:12
C:\WINDOWS\System32\jscript.dll -->2007-11-14 15:27:10
C:\WINDOWS\System32\tzchange.exe -->2007-11-13 19:31:12
C:\WINDOWS\System32\lsasrv.dll -->2007-11-7 17:26:38
C:\WINDOWS\System32\mshtml.dll -->2007-10-30 18:15:38
C:\WINDOWS\Rav.inf -->2008-1-16 20:00:44
C:\WINDOWS\XDICT.INI -->2008-1-16 19:32:46
C:\WINDOWS\KSPHONET.FOR -->2008-1-16 19:18:30
C:\WINDOWS\RSBDBACKUP.DLL -->2008-1-16 18:55:02
C:\WINDOWS\WindowsUpdate.log -->2008-1-16 18:53:10
C:\WINDOWS\0.log -->2008-1-16 18:50:44
C:\WINDOWS\wiadebug.log -->2008-1-16 18:50:04
C:\WINDOWS\bootstat.dat -->2008-1-16 18:49:16
C:\WINDOWS\system.ini -->2008-1-16 18:47:14
C:\WINDOWS\win.ini -->2008-1-16 18:47:14
C:\WINDOWS\wiaservc.log -->2008-1-16 18:36:30
C:\WINDOWS\Rav.ini -->2008-1-16 16:44:12
C:\WINDOWS\run2.vbs -->2008-1-16 1:05:02
C:\WINDOWS\pwisys.ini -->2008-1-16 0:30:30
C:\WINDOWS\setupapi.log -->2008-1-15 23:07:34
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
Explorer.EXE pid: 1360
Command line: C:\WINDOWS\Explorer.EXE

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 652
Command line: winlogon.exe


Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F
Directory of C:\WINDOWS\system32
2004-08-08 04:00 6,144 csrss.exe
1 File(s) 6,144 bytes
0 Dir(s) 4,557,930,496 bytes free

Contenu de Downloaded Program Files
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F
Directory of C:\WINDOWS\Downloaded Program Files
2006-05-30 17:51 <DIR> .
2006-05-30 17:51 <DIR> ..
2006-01-02 02:12 65 desktop.ini
2005-11-03 20:24 495 LegitCheckControl.inf
2000-01-20 15:25 1,162 Microsoft XML Parser for Java.osd
2006-03-17 13:55 122,880 PG_ATL_Edit.dll
2005-11-29 14:03 231 PG_ATL_Edit.inf
2007-05-16 08:22 399 gp.inf
2007-06-11 12:21 5,021 swflash.inf
2005-03-14 14:38 126 live.ini
2005-03-14 14:58 7,073 scanoptions.tsi
2005-03-16 12:34 7,407 lang.ini
2006-05-25 01:21 53,248 ipsupd.dll
2006-05-25 01:21 118,784 bdupd.dll
2004-12-07 17:07 32 libfn.dll
2004-12-07 17:07 32 bdcore.dll
2007-10-25 16:54 471,040 oscan8.ocx
2007-10-29 16:45 1,244 oscan8.inf
16 File(s) 789,239 bytes
Total Files Listed:
16 File(s) 789,239 bytes
2 Dir(s) 4,557,930,496 bytes free

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues
Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2


Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui ?????"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="????????"


exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)
Process list by traversal of KiWaitListHead
4 - System
196 - guard.exe
232 - ctfmon.exe
252 - realplay.exe
376 - Sreaserv.exe
628 - csrss.exe
652 - winlogon.exe
696 - services.exe
708 - lsass.exe
856 - svchost.exe
960 - svchost.exe
1060 - CCenter.exe
1088 - svchost.exe
1164 - svchost.exe
1176 - Ravmond.exe
1360 - Explorer.EXE
1644 - RavStub.exe
1700 - spoolsv.exe
1848 - RavTask.exe
1940 - Ravmon.exe
1996 - svchost.exe
2040 - TeaTimer.exe
2056 - RsAgent.exe
2136 - avgas.exe
2216 - AgentSvr.exe
2220 - cmd.exe
2416 - Rav.exe
2844 - avpFirewall.exe
4000 - conime.exe
Total number of processes = 29
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)
Driver/Module list by traversal of PsLoadedModuleList
80800000 - \WINDOWS\system32\ntoskrnl.exe
80A15000 - \WINDOWS\system32\hal.dll
F9D29000 - \WINDOWS\system32\KDCOM.DLL
F9C39000 - \WINDOWS\system32\BOOTVID.dll
F97DA000 - ACPI.sys
F9D2B000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F97C9000 - pci.sys
F9829000 - isapnp.sys
F9D2D000 - aliide.sys
F9AA9000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F9D2F000 - intelide.sys
F9DF1000 - pciide.sys
F9D31000 - toside.sys
F9D33000 - viaidexp.sys
F9D35000 - cmdide.sys
F9839000 - MountMgr.sys
F97AA000 - ftdisk.sys
F9D37000 - dmload.sys
F9784000 - dmio.sys
F9AB1000 - PartMgr.sys
F9849000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F9859000 - VolSnap.sys
F975B000 - \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
F9743000 - atapi.sys
F9979000 - AAC.SYS
F9B39000 - AEC6290.SYS
F9B41000 - AEC67160.SYS
F9C5D000 - AEC671X.SYS
F9B49000 - AEC6880.SYS
F9999000 - PNP649R.SYS
F99A9000 - RAIDSRC.SYS
F9B61000 - SISRAIDS.SYS
F99C9000 - SYMMPI.SYS
F99D9000 - disk.sys
F9325000 - fltMgr.sys
F9313000 - sr.sys
F92F0000 - Fastfat.sys
F92D9000 - KSecDD.sys
F9B69000 - usbohci.sys
F92B6000 - \WINDOWS\system32\DRIVERS\USBPORT.SYS
F9289000 - NDIS.sys
F99E9000 - viaagp.sys
F926E000 - Mup.sys
F99F9000 - agp440.sys
F9A29000 - \SystemRoot\system32\DRIVERS\p3.sys
F8F8E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F8F7A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F9A39000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F9B01000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F9B09000 - \SystemRoot\system32\DRIVERS\fdc.sys
F9A49000 - \SystemRoot\system32\DRIVERS\serial.sys
F9CE9000 - \SystemRoot\system32\DRIVERS\serenum.sys
F8F66000 - \SystemRoot\system32\DRIVERS\parport.sys
F9A59000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F9A69000 - \SystemRoot\system32\DRIVERS\redbook.sys
F8F43000 - \SystemRoot\system32\DRIVERS\ks.sys
F9B11000 - \SystemRoot\system32\drivers\usbuhci.sys
F8F2F000 - \SystemRoot\system32\DRIVERS\Rtnicxp.sys
F8ED2000 - \SystemRoot\system32\drivers\cmaudio.sys
F8EAE000 - \SystemRoot\system32\drivers\portcls.sys
F9A79000 - \SystemRoot\system32\drivers\drmk.sys
F9CF1000 - \SystemRoot\system32\DRIVERS\fsvga.sys
F9E86000 - \SystemRoot\system32\DRIVERS\audstub.sys
F9A89000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F9CF5000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F8E97000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F9A99000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F94F3000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F9B19000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8E86000 - \SystemRoot\system32\DRIVERS\psched.sys
F94E3000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F9B21000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F9B29000 - \SystemRoot\system32\DRIVERS\raspti.sys
F8E55000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F94D3000 - \SystemRoot\system32\DRIVERS\termdd.sys
F9B31000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F9D3B000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8DFC000 - \SystemRoot\system32\DRIVERS\update.sys
F9D0D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F9D11000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F94C3000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9B81000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F94A3000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9D41000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F9D43000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F9EB7000 - \SystemRoot\System32\Drivers\Null.SYS
F9D45000 - \SystemRoot\System32\Drivers\Beep.SYS
F9EBA000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F9B91000 - \SystemRoot\System32\drivers\vga.sys
F9D47000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9D49000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9B99000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9BA1000 - \SystemRoot\System32\Drivers\Npfs.SYS
F923A000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F6DA1000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F6D49000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F6D21000 - \SystemRoot\system32\DRIVERS\netbt.sys
F6D00000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F9493000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F6CDE000 - \SystemRoot\System32\drivers\afd.sys
F9483000 - \SystemRoot\system32\DRIVERS\netbios.sys
F6CB3000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F6C44000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F6C1E000 - \SystemRoot\system32\drivers\HookSys.sys
F9BA9000 - \SystemRoot\system32\drivers\HOOKHELP.sys
F9BB1000 - \SystemRoot\system32\drivers\HookReg.sys
F9463000 - \SystemRoot\system32\drivers\HookNtos.sys
F9D4B000 - \SystemRoot\system32\drivers\HookCont.sys
F9216000 - \SystemRoot\System32\Drivers\Fips.SYS
F9EDF000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F917A000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F91F6000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F9BB9000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F9176000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F91E6000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F6BDE000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9D4D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F915E000 - \SystemRoot\System32\drivers\Dxapi.sys
F9BC1000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F9F52000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
F6AAE000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F6701000 - \SystemRoot\system32\drivers\wdmaud.sys
F678E000 - \SystemRoot\system32\drivers\sysaudio.sys
F6324000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F9BD1000 - \??\C:\Program Files\QQ2005\npkcrypt.sys
F5F73000 - \SystemRoot\System32\Drivers\HTTP.sys
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
F9EA6000 - \SystemRoot\system32\Drivers\RsNTGdi.sys
F4A81000 - \SystemRoot\system32\drivers\kmixer.sys
F9EB5000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys
Total number of drivers = 133
Liste des programmes installes
A-Men Technologies USB-to-Serial
ACDSee 5.0.1 PowerPack
ActiveState ActiveTcl 8.4.16.0
Adobe Reader 8.1.0
Adobe? Photoshop? Album Starter Edition 3.2
ASF-AVI-RM-WMV Repair 1.82
AVG Anti-Spyware 7.5
AVIcodec (remove only)
BitComet 0.60
BitCometBar - Toolbar
CCleaner (remove only)
Cool Edit 2000
Cosmo Player 2.1.1
EPSON 打印?
FlexHEX
FreePortScanner 2.5
Google Toolbar for Internet Explorer
Graphics Converter Pro v6.8x
GSM SIM Utility 9.0
HijackThis 2.0.2
Huge Pine USB to UART Driver
MemoryLifter2
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Speech API 4.0
Microsoft Text-to-Speech Engine
PCI Audio Driver
PDFCreator
QQ2006 Beta1
QQ2007 Beta1
RealPlayer
Service Reanimator
Spybot - Search & Destroy
SyncBack
Tencent Media Player by Viewpoint
VideoLAN VLC media player 0.8.6a
Vim 7.1 (self-installing)
WebFldrs XP
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player (KB911564) 安全
Windows Media Player 10
Windows Media Player 10 (KB911565) 安全
Windows Media Player 10 (KB917734) 安全
Windows Media Player 10 (KB936782) 安全
Windows Media Player 6.4 (KB925398) 安全
Windows XP (KB923689) 安全
Windows XP (KB941569) 安全
Windows XP 安全更新 (KB901
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB912
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB916
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB919
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB930
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB932
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB936
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB939
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB942
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB944
Windows XP 更新 (KB90048
Windows XP 更新 (KB90853
Windows XP 更新 (KB91128
Windows XP 更新 (KB91659
Windows XP 更新 (KB92087
Windows XP 更新 (KB92258
Windows XP 更新 (KB92789
Windows XP 更新 (KB92933
Windows XP 更新 (KB93091
Windows XP 更新 (KB93183
Windows XP 更新 (KB93336
Windows XP 更新 (KB93635
Windows XP 更新 (KB93882
Windows XP 更新 (KB94276
Windows XP 更新 (KB94284
Windows XP 更新 (KB94662
WinRAR 压缩文?
XnView 1.90.2
Yahoo!相册,简易的上
暴风
卡卡上网
千千静听 4
瑞星杀
腾讯中
网络传送带 1.94.28
用于 Microsoft .NET Framework 2.0 的 Security Update (KB9283


Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F
Directory of C:\Program Files
2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-11-14 21:05 <DIR> 2BrightSparks
2006-05-30 19:31 <DIR> 8738512010643WDM
2006-05-30 17:45 <DIR> ACD Systems
2007-07-05 15:16 <DIR> Adobe
2007-03-03 15:49 <DIR> ASF-AVI-RM-WMV Repair
2007-02-26 19:21 <DIR> AVIcodec
2006-07-25 19:41 <DIR> BitComet
2008-01-13 22:45 <DIR> CCleaner
2006-05-30 19:33 <DIR> C-Media
2006-05-30 17:44 <DIR> Common Files
2006-05-30 17:45 <DIR> ComPlus Applications
2007-06-29 13:03 <DIR> Cool2000
2007-12-22 19:04 <DIR> CosmoSoftware
2007-02-25 15:35 <DIR> eMule
2006-05-30 18:17 <DIR> EPSON
2007-03-02 13:18 <DIR> FlexHEX
2006-01-05 00:23 2,707,592 Foxit Reader.exe
2006-07-19 20:58 <DIR> GnetSecCtrl
2006-07-16 20:50 <DIR> Goldwave
2007-02-25 15:35 <DIR> Google
2008-01-13 23:06 <DIR> Grisoft
2006-10-30 19:58 <DIR> GSM SIM Utility 9.0
2008-01-16 22:23 <DIR> HijackThis
2007-03-02 00:57 <DIR> IconCool Software
2006-05-30 17:45 <DIR> Internet Explorer
2006-05-30 19:18 <DIR> KINGSOFT
2008-01-14 15:26 <DIR> kk
2007-10-28 00:56 <DIR> LearnLift
2006-05-30 17:46 <DIR> Microsoft ActiveSync
2006-05-30 17:45 <DIR> microsoft frontpage
2006-05-30 17:45 <DIR> Microsoft Office
2006-05-30 17:45 <DIR> Movie Maker
2006-05-30 17:45 <DIR> MSN Gaming Zone
2006-05-31 20:18 <DIR> MSN Messenger
2006-05-30 17:45 <DIR> NetMeeting
2007-03-22 20:53 <DIR> Nsasoft
2006-05-30 17:45 <DIR> Online Services
2006-05-30 17:45 <DIR> Outlook Express
2007-03-19 19:41 <DIR> PDFCreator
2006-05-30 18:12 <DIR> QQ2005
2007-04-02 19:09 <DIR> QQDoctor
2007-04-02 19:09 <DIR> QQDownload
2006-05-30 18:12 <DIR> QQGame
2006-05-30 17:45 <DIR> Real
2006-05-30 17:46 <DIR> Ringz Studio
2006-05-30 18:30 <DIR> Rising
2008-01-14 18:06 <DIR> Service Reanimator
2008-01-15 00:08 <DIR> Spybot - Search & Destroy
2006-05-30 18:12 <DIR> Tencent
2008-01-13 22:27 <DIR> Trend Micro
2006-05-30 17:45 <DIR> TTPlayer
2007-03-02 16:17 <DIR> VideoLAN
2007-11-16 01:40 <DIR> Vim
2006-05-30 17:45 <DIR> Windows Media Player
2006-05-30 17:45 <DIR> Windows NT
2006-05-30 17:45 <DIR> WinRAR
2006-05-30 17:45 <DIR> xerox
2006-05-30 17:45 <DIR> Xi
2007-03-01 22:44 <DIR> XnView
2006-06-08 18:26 <DIR> Yahoo!
2006-05-30 17:45 <DIR> ??
1 File(s) 2,707,592 bytes
62 Dir(s) 4,547,559,424 bytes free
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F
Directory of C:\Program Files\common files
2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-05-30 17:44 <DIR> Microsoft Shared
2006-05-30 17:45 <DIR> SpeechEngines
2006-05-30 17:45 <DIR> odbc
2006-05-30 17:45 <DIR> System
2006-05-30 17:45 <DIR> MSSoap
2006-05-30 17:45 <DIR> Services
2006-05-30 17:45 <DIR> ACD Systems
2006-05-30 17:45 <DIR> Real
2006-05-30 17:45 <DIR> xing shared
2006-05-30 17:45 <DIR> designer
2006-10-30 19:57 <DIR> InstallShield
2007-07-05 15:16 <DIR> Adobe
0 File(s) 0 bytes
14 Dir(s) 4,547,559,424 bytes free
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F
Directory of C:\
2008-01-16 12:35 49,152 avpkey.exe
1 File(s) 49,152 bytes
0 Dir(s) 4,547,559,424 bytes free




c:\Documents and Settings\new\HijackThis.exe
c:\Documents and Settings\new\??????\??\??\Watchdriver.exe
c:\Documents and Settings\new\??\ActiveTcl8.4.16.0.282109-win32-ix86-threaded.exe
c:\Documents and Settings\new\??\BitComet_0.60.exe
c:\Documents and Settings\new\??\ComboFix.exe
c:\Documents and Settings\new\??\eMule-0.47c-VeryCD1215-Setup.exe
c:\Documents and Settings\new\??\gvim71.exe
c:\Documents and Settings\new\??\MLifter20SetupUS.exe
c:\Documents and Settings\new\??\MLifterRecorder_013_Beta.exe
c:\Documents and Settings\new\??\qq2007beta1kb1.exe
c:\Documents and Settings\new\??\SDFix.exe
c:\Documents and Settings\new\??\setup.exe
c:\Documents and Settings\new\??\spybotsd15.exe
c:\Documents and Settings\new\??\TencentVqq1230.exe
c:\Documents and Settings\new\??\whtoolbar.exe
c:\Documents and Settings\new\??\bureau_documents\AVIcodec_1.2_b110.exe
c:\Documents and Settings\new\??\bureau_documents\FreePortScanner.exe
c:\Documents and Settings\new\??\bureau_documents\QQChatRoom.exe
c:\Documents and Settings\new\??\GenProc\GenProc\outil\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\catchme.exe
c:\Documents and Settings\new\??\DiagHelp\diff.exe
c:\Documents and Settings\new\??\DiagHelp\dumphive.exe
c:\Documents and Settings\new\??\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\new\??\DiagHelp\find2.exe
c:\Documents and Settings\new\??\DiagHelp\Fport.exe
c:\Documents and Settings\new\??\DiagHelp\grep.exe
c:\Documents and Settings\new\??\DiagHelp\gzip.exe
c:\Documents and Settings\new\??\DiagHelp\KProcCheck.exe
c:\Documents and Settings\new\??\DiagHelp\LFiles.exe
c:\Documents and Settings\new\??\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\new\??\DiagHelp\md5sums.exe
c:\Documents and Settings\new\??\DiagHelp\pslist.exe
c:\Documents and Settings\new\??\DiagHelp\sigcheck.exe
c:\Documents and Settings\new\??\DiagHelp\streams.exe
c:\Documents and Settings\new\??\DiagHelp\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\tar.exe
c:\Documents and Settings\new\Application Data\Tencent\QQDownload\3894644718\491fbf248be3806054a987ca4f62127f.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\new\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_MICROSOF-333E64.tar.gz a l'adresse http://upload.malekal.com
Ananda
 Posté le 17/01/2008 à 11:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour pc_account

J'ai bien suivi la procedure hier. Cependant impossible d'executer DiagHelp en mode normal.
Je l'ai fait en mode sans echec mais pour le faire avec les services demarres je l'ai refait apres la suppression des phoneflash phonemouse...


Je m'en doutais un peu, j'ai éssayais comme ça pour récupérer les fichiers infectés avant leurs suppressions. C'est pas grave.

Je ne te cache pas qu'il va être délicat de s'en sortir, multi infection, fichier windows (patché), on va éssayer;

Sauvegarde tes dossiers importants;

On commence comme ça

*** Imprime ou enregistre la procédure qui suit ***

******************

1/ Pourrais-tu aller sur Virus Total (comme au-dessus et faire analyser

C:\Program Files\Service Reanimator\Sreaserv.exe

Si ça coince tu n'insiste pas.

******************

2/ * Assure toi d'avoir accès à tous les fichiers
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachés
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

*******************

3/ Rends-toi sur cette page

http://upload.malekal.com/

Clic sur "parcourir" navigues jusqu'à ce fichier

C:\WINDOWS\system32\policesystem.dll

"Envoyer"

Aide

Fais la même chose pour

C:\Program Files\QQDownload\QQIEHelper01.dll

******************

4/ Désinstalles via ajout:suppression des programmes QQDownload

et QQ2005 (si présent)

******************

Désactives le Tea Timer de Spybot

*******************

5/ Télécharge Elibagla (de MSC HotlineSat)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

  • Tout en bas de la page au dessus de (Tamaño-Descargados-Licencia-Web)
  • Clique sur le bouton Descargar Elibagla (N°version) pour télécharger le fichier sur le bureau.
  • Double-clique sur EliBaglA.exe.
  • Dans le cartouche Unidad, tu dois voir C:\
  • L'option en bas de la fenêtre "Eliminar Ficheros Automaticamente" doit être cochée.
  • Clique sur le bouton "Explorar" pour lancer l'analyse
******************

6/ Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

******************

7/ Redémarre en "Mode sans échec"

******************

8/ * Lance HijackThis pour un scan Scan seulement (Do a system scan only)
Puis coche les lignes suivantes en gras

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\QQDownload\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft Class - {895A5924-74BA-43CD-B585-B031B44ECD66} - C:\WINDOWS\system32\policesystem.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)

O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - Startup: Watchdriver.exe
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\QQDownload\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm

O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm

O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: 词霸 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: 卓越 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BFAA61B-5C83-4865-8281-D8BDBF863061} (PGEdit Class) - http://www.gnetpg.com/PlugIn/PG_ATL.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - http://www.00110.net/tj2007/00110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe

* Fermer toutes les fenêtres Windows, .....sauf le logiciel HijackThis et clique sur Fixer l'objet

****************

9/ double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.



C:\WINDOWS\System32\drivers\secdrv.sys
C:\Program Files\QQDownload
C:\Program Files\QQ2005
C:\WINDOWS\system32\policesystem.dll


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\\\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

***************

Trouve et supprime ce fichier, je n'ai pas le chemin exact

c:\Documents and Settings\new\??????\??\??\Watchdriver.exe

***************

10/ Redémarre ton PC

Tente une réparation avec la commande sfc /scannow

http://assiste.com.free.fr/p/comment/comment_reparer_windows_sfc_scannow.html

Poste les différents rapports demandés

Virus total

Elibagla

OtMoveIt

et un nouveau hijackthis

Bonne chance



Modifié par Ananda le 17/01/2008 11:45
pc_account
 Posté le 18/01/2008 à 12:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Ananda,

Suite au scan de BitDefender et de Rising il n'y a plus de virus ou malware de signale.


Cependant, il suffit que je sois connecte plus d'un quart d'heure sur le net pour que le parefeu me signale une anomalie avec le nom d'un exec qui vient d'apparaitre soit sous C:, ou sous C:/windows/System32 ou encore dans le fichier de startup.

Il semble que suite a l'attaque Rising est plante (malgre la presence des icones l'antivirus ne repond plus).

J'ai suivi les etapes que tu m'as indiquees:

- C:\Program Files\Service Reanimator\Sreaserv.exe

Voici le resultat:

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fichier SREASERV.exe re?u le 2008.01.18 10:30:14 (CET)Antivirus Version Dernière mise à jour Résultat

Prevx1 V2 2008.01.18 Heuristic: Suspicious File With Mass Email Capabilities

Information additionnelle
File size: 665600 bytes
MD5: 522d0a238f5cc1b69ee85fee6607fb66
SHA1: 120b8cea693e51ad2e454f5864b45499534a758c
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=92913B5F00FBF4C728B10A54C59D450079D16E8F

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


-J'ai uploade les fichiers sur malekal.com:

C:\WINDOWS\system32\policesystem.dll
C:\Program Files\QQDownload\QQIEHelper01.dll

-J'ai supprime les installations de QQDOWNLOAD QQ2005, mais egalement SPybot et aussi Reanimator


J-e suis bloque a Elibagla (de MSC HotlineSat) car ayant fait le dowload je l'ai machinalement teste sur Virustotal:

Voila le resultat:

xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fichier EliBaglA.exe reçu le 2008.01.18 11:44:09 (CET)Antivirus Version Dernière mise à jour Résultat

eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm
Ewido 4.0 2008.01.17 Heuristic.Win32.AVKiller
Panda 9.0.0.4 2008.01.17 Suspicious file
Prevx1 V2 2008.01.18 Heuristic: Suspicious File With Persistence
Webwasher-Gateway 6.6.2 2008.01.18 Win32.ModifiedUPX.gen!82 (suspicious)

Information additionnelle
File size: 48139 bytes
MD5: b80f5286d067365be4e69cac115a914a
SHA1: d7d5d52634b89bbc8153814f6676c0b7ac51714d
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar &amp; John Reiser
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C4CE104F0B82174FBCAF0040F51EE800862EA7C4

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


J'hesite donc a le lancer.

Est-ce que tu valides ce fichier ?


Merci


Pc_acc

Ananda
 Posté le 18/01/2008 à 12:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour pc_account

Tu peux utiliser Elibagla sans soucis, je suspecte un infection Bagle, on l'utilise tout les jours;

Je ragarderais les autres infos plus tard;

Publicité
pc_account
 Posté le 18/01/2008 à 17:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne


Rebonjour Ananda,

Voici le complement.

Le scan de Elibagla n'a pas signale d'anomalie

La desinstallation de Service Reanimator (l'installation avait ete faite apres l'apparition du trojan) s'est effectuee mais subsiste et resiste a la suppression par Hijack

Voici les rapports MoveIT, suivi de Hijack.

Je n'ai pas pu faire la reinstallation du pack2 pour sfc n'ayant pas le CDROM.


En esperant que cela puisse regler le probleme :-)

Merci

Pc_acc

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

File move failed. C:\WINDOWS\System32\drivers\secdrv.sys scheduled to be moved on reboot.
C:\Program Files\QQDownload moved successfully.
C:\Program Files\QQ2005\UnRegIcon moved successfully.
C:\Program Files\QQ2005\593859279\CustomFaceRecv moved successfully.
C:\Program Files\QQ2005\593859279\UserHead moved successfully.
C:\Program Files\QQ2005\593859279\FlashScene moved successfully.
C:\Program Files\QQ2005\593859279\CustomFace moved successfully.
C:\Program Files\QQ2005\593859279\QQPetFile moved successfully.
C:\Program Files\QQ2005\593859279\spf moved successfully.
C:\Program Files\QQ2005\593859279\QQSpaceFile moved successfully.
C:\Program Files\QQ2005\593859279\PanelData moved successfully.
C:\Program Files\QQ2005\593859279 moved successfully.
Folder move failed. C:\Program Files\QQ2005\ShareFilesTemp\2B2657649277CD515F2EB04AAEC12F24 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\QQ2005\ShareFilesTemp\84B232EE0198351C5AB6AA1DFE28812B scheduled to be moved on reboot.
Folder move failed. C:\Program Files\QQ2005\ShareFilesTemp\D10310BBD9D1C83F5FFA8137AEFA882F scheduled to be moved on reboot.
Folder move failed. C:\Program Files\QQ2005\ShareFilesTemp\A0D4FFDB1C7DA1DD156024F75B876130 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\QQ2005\ShareFilesTemp\73CB3943DBB0E2F3BA0CF5BE36E22145 scheduled to be moved on reboot.
C:\Program Files\QQ2005\ShareFilesTemp moved successfully.
C:\Program Files\QQ2005\Items moved successfully.
C:\Program Files\QQ2005\qqshow\avct moved successfully.
C:\Program Files\QQ2005\qqshow moved successfully.
C:\Program Files\QQ2005\FaceMgr moved successfully.
C:\Program Files\QQ2005\QLoveFiles moved successfully.
C:\Program Files\QQ2005\AD moved successfully.
C:\Program Files\QQ2005\0 moved successfully.
C:\Program Files\QQ2005\flashshow\xml6 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow6 moved successfully.
C:\Program Files\QQ2005\flashshow\xml0 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow0 moved successfully.
C:\Program Files\QQ2005\flashshow\xml5 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow1 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow7 moved successfully.
C:\Program Files\QQ2005\flashshow\xml7 moved successfully.
C:\Program Files\QQ2005\flashshow\xml9 moved successfully.
C:\Program Files\QQ2005\flashshow\xml3 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow5 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow3 moved successfully.
C:\Program Files\QQ2005\flashshow\qqshow9 moved successfully.
C:\Program Files\QQ2005\flashshow moved successfully.
C:\Program Files\QQ2005\LoginLogo moved successfully.
C:\Program Files\QQ2005\QzoneShare moved successfully.
C:\Program Files\QQ2005\QQSuperbag moved successfully.
C:\Program Files\QQ2005\AirDLIcon moved successfully.
C:\Program Files\QQ2005\312330653\QQTangFace moved successfully.
C:\Program Files\QQ2005\312330653\CacheFolder moved successfully.
C:\Program Files\QQ2005\312330653\image moved successfully.
C:\Program Files\QQ2005\312330653\UserSessionInfo moved successfully.
C:\Program Files\QQ2005\312330653\MyRecvFiles moved successfully.
C:\Program Files\QQ2005\312330653\FlashScene moved successfully.
C:\Program Files\QQ2005\312330653\CustomFaceRecv moved successfully.
C:\Program Files\QQ2005\312330653\CustomFace moved successfully.
C:\Program Files\QQ2005\312330653\QQPetFile moved successfully.
C:\Program Files\QQ2005\312330653\QQSpaceFile moved successfully.
C:\Program Files\QQ2005\312330653\PanelData moved successfully.
C:\Program Files\QQ2005\312330653 moved successfully.
Folder move failed. C:\Program Files\QQ2005\QQFileCache\5677C400432E13557C22C5EE7929AE0E scheduled to be moved on reboot.
C:\Program Files\QQ2005\QQFileCache moved successfully.
C:\Program Files\QQ2005\QBox\msg moved successfully.
C:\Program Files\QQ2005\QBox\SrvImage moved successfully.
C:\Program Files\QQ2005\QBox\Def_Skin\msg moved successfully.
C:\Program Files\QQ2005\QBox\Def_Skin\pay moved successfully.
C:\Program Files\QQ2005\QBox\Def_Skin moved successfully.
C:\Program Files\QQ2005\QBox moved successfully.
Folder move failed. C:\Program Files\QQ2005\QQlog scheduled to be moved on reboot.
C:\Program Files\QQ2005\QQBuddy\Def_Skin moved successfully.
C:\Program Files\QQ2005\QQBuddy\Dat\images moved successfully.
C:\Program Files\QQ2005\QQBuddy\Dat moved successfully.
C:\Program Files\QQ2005\QQBuddy moved successfully.
C:\Program Files\QQ2005\3DSHOW\xml0 moved successfully.
C:\Program Files\QQ2005\3DSHOW\ui_swf moved successfully.
C:\Program Files\QQ2005\3DSHOW\swf moved successfully.
C:\Program Files\QQ2005\3DSHOW\scene moved successfully.
C:\Program Files\QQ2005\3DSHOW\index_resources moved successfully.
C:\Program Files\QQ2005\3DSHOW\girl_s moved successfully.
C:\Program Files\QQ2005\3DSHOW\girl_m moved successfully.
C:\Program Files\QQ2005\3DSHOW\DefualtModel moved successfully.
C:\Program Files\QQ2005\3DSHOW\bubble moved successfully.
C:\Program Files\QQ2005\3DSHOW\boy_s moved successfully.
C:\Program Files\QQ2005\3DSHOW\boy_m moved successfully.
C:\Program Files\QQ2005\3DSHOW\99 moved successfully.
C:\Program Files\QQ2005\3DSHOW\98 moved successfully.
C:\Program Files\QQ2005\3DSHOW\97 moved successfully.
C:\Program Files\QQ2005\3DSHOW\96 moved successfully.
C:\Program Files\QQ2005\3DSHOW\95 moved successfully.
C:\Program Files\QQ2005\3DSHOW\94 moved successfully.
C:\Program Files\QQ2005\3DSHOW\9 moved successfully.
C:\Program Files\QQ2005\3DSHOW\8 moved successfully.
C:\Program Files\QQ2005\3DSHOW\7 moved successfully.
C:\Program Files\QQ2005\3DSHOW\6 moved successfully.
C:\Program Files\QQ2005\3DSHOW\52 moved successfully.
C:\Program Files\QQ2005\3DSHOW\51 moved successfully.
C:\Program Files\QQ2005\3DSHOW\50 moved successfully.
C:\Program Files\QQ2005\3DSHOW\5 moved successfully.
C:\Program Files\QQ2005\3DSHOW\49 moved successfully.
C:\Program Files\QQ2005\3DSHOW\48 moved successfully.
C:\Program Files\QQ2005\3DSHOW\47 moved successfully.
C:\Program Files\QQ2005\3DSHOW\46 moved successfully.
C:\Program Files\QQ2005\3DSHOW\45 moved successfully.
C:\Program Files\QQ2005\3DSHOW\43 moved successfully.
C:\Program Files\QQ2005\3DSHOW\42 moved successfully.
C:\Program Files\QQ2005\3DSHOW\41 moved successfully.
C:\Program Files\QQ2005\3DSHOW\40 moved successfully.
C:\Program Files\QQ2005\3DSHOW\4 moved successfully.
C:\Program Files\QQ2005\3DSHOW\0 moved successfully.
C:\Program Files\QQ2005\3DSHOW\37 moved successfully.
C:\Program Files\QQ2005\3DSHOW\27 moved successfully.
C:\Program Files\QQ2005\3DSHOW\26 moved successfully.
C:\Program Files\QQ2005\3DSHOW\25 moved successfully.
C:\Program Files\QQ2005\3DSHOW\24 moved successfully.
C:\Program Files\QQ2005\3DSHOW\23 moved successfully.
C:\Program Files\QQ2005\3DSHOW\22 moved successfully.
C:\Program Files\QQ2005\3DSHOW\21 moved successfully.
C:\Program Files\QQ2005\3DSHOW\20 moved successfully.
C:\Program Files\QQ2005\3DSHOW\2 moved successfully.
C:\Program Files\QQ2005\3DSHOW\11 moved successfully.
C:\Program Files\QQ2005\3DSHOW\10 moved successfully.
C:\Program Files\QQ2005\3DSHOW\1 moved successfully.
C:\Program Files\QQ2005\3DSHOW\38 moved successfully.
C:\Program Files\QQ2005\3DSHOW moved successfully.
C:\Program Files\QQ2005\QQTProxy\config\default moved successfully.
C:\Program Files\QQ2005\QQTProxy\config moved successfully.
C:\Program Files\QQ2005\QQTProxy\object\player moved successfully.
C:\Program Files\QQ2005\QQTProxy\object\mouth moved successfully.
C:\Program Files\QQ2005\QQTProxy\object\mapElem moved successfully.
C:\Program Files\QQ2005\QQTProxy\object\bhadorn moved successfully.
C:\Program Files\QQ2005\QQTProxy\object\body moved successfully.
C:\Program Files\QQ2005\QQTProxy\object moved successfully.
C:\Program Files\QQ2005\QQTProxy moved successfully.
C:\Program Files\QQ2005\QQAddrDat moved successfully.
C:\Program Files\QQ2005\qqedit moved successfully.
C:\Program Files\QQ2005\425149848\spf moved successfully.
C:\Program Files\QQ2005\425149848\QQPetFile moved successfully.
C:\Program Files\QQ2005\425149848\QQSpaceFile moved successfully.
C:\Program Files\QQ2005\425149848\PanelData moved successfully.
C:\Program Files\QQ2005\425149848 moved successfully.
C:\Program Files\QQ2005 moved successfully.
C:\WINDOWS\system32\policesystem.dll unregistered successfully.
File move failed. C:\WINDOWS\system32\policesystem.dll scheduled to be moved on reboot.

Created on 01-18-2008 22:28:44


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:07, on 2008-1-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe (file missing)

--
End of file - 4877 bytes

Ananda
 Posté le 18/01/2008 à 18:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Tu as utilisé des outils de désinfection, (sdfix, combofix, tu peux supprimé ces deux utilitaires)

as-tu utilisé ces outils tout seul?

où as-tu demandé de l'aide sur un autre forum?

Si tu as éssayé via un autre forum pourrais-tu me donner le lien que je vois ce qui a été fait?

*************

Pour supprimer Reanimator

Va dans
Démarrer\exécuter\tapes services.msc
recherche les lignes avec

Service Reanimator Server

Double clic dessus
Type de démarrage: Désactivé
Statut du service: Arréter
"Appliquer" puis "ok".

Désinstalles le programme via ajout/suppression des programmes et supprime le dossier en gras;

C:\Program Files\Service Reanimator

***************

Supprime la version de comboFix que tu as.

Télécharge combofix.exe (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

  • Double clique combofix.exe et suis les invites.
  • Lorsque le scan sera complété, un rapport apparaîtra.
  • Copie/colle ce rapport dans ta prochaine réponse.

***************

Et un nouveau rapport DiagHelp

a+



Modifié par Ananda le 18/01/2008 18:59
pc_account
 Posté le 19/01/2008 à 06:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne


Merci Ananda,


J'ai applique moi-meme SDFix et Combofix suite a mes premieres recherches Google.

Combofix a mis en quarantaine un ou deux fichiers. Apres avoir repris son fonctionnement normal Rising a ensuite detecte un virus dans Combofix lui-meme.

Bien apres, quand tu m'as parle de virustotal j'ai fait le test et le fichier n'etant pas clean je ne l'ai plus reutilise.


Le test virustotal ne donnait rien pour Rising (mais positif pour quelques autres), cependant Rising vient automatiquement d'y detecter un Trojan et de le supprimer spontanement
ComboFix2.exe>>ntp.exe Trojan.Win32.Malagent.a.

La taille de Combofix passe de 1515KB a une taille de 3981KB apres revision.


La desinstallation de reanimator est completee.
J'ai supprime les anciens Combofix et SDfix

Je trouvais curieux que Rising detecte un trojan avec sa version offline sur mon PC et rien sur virustotal,
mais ma version est plus recente (20.27.50).

Je joins un dernier rapport Hijack.
Je n'ai pas demande a ctfmon de s'installer (je l'avais supprime par Hijackthis).

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


Est-ce normal qu'il reapparaisse?

J'attends donc ta confirmation avant de lancer Combofix puis de faire DiagHelp.


Bon weekend


Pc_acc

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fichier ComboFix.exe recu le 2008.01.19 05:35:55 (CET)Antivirus Version Dernière mise à jour Résultat

eSafe 7.0.15.0 2008.01.16 Suspicious File

Panda 9.0.0.4 2008.01.18 Application/NirCmd.A

Rising 20.27.42.00 2008.01.18 -

Sunbelt 2.2.907.0 2008.01.17 VIPRE.Suspicious


Information additionnelle
File size: 4068288 bytes
MD5: 07e0821c2ccd13e2a0a592161958d090
SHA1: 01b6cf534d6837bb7a9bead632c4389211a38a9a
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar &amp; John Reiser
packers: UPX
packers: UPX, RAR
packers: PE_Patch.UPX, UPX
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


xxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:13, on 2008-1-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\Rising\Rav\RAVMON.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Rising\Rav\Rav.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
End of file - 3044 bytes



Modifié par pc_account le 19/01/2008 06:44
pc_account
 Posté le 19/01/2008 à 09:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Rebonjour Ananda,

Juste un complement.

J'ai trouve un fichier suspect sous windows/system32: mwisys32_080112.dll

( il n'est peut-etre plus actif car il date du 16 janvier)

Quelle procedure suivre pour le supprimer?

MoveIt ou simple delete...?

Voici ci dessous son analyse .

Merci

Pc_acc

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fichier mwisys32_080112.dll reçu le 2008.01.19 07:22:58 (CET)Antivirus Version Dernière mise à jour Résultat


Avast 4.7.1098.0 2008.01.18 Win32:Agent-ICL
ClamAV 0.91.2 2008.01.18 Adware.Baidu
F-Prot 4.4.2.54 2008.01.19 W32/Agent.B.gen!Eldorado
Ikarus T3.1.1.20 2008.01.19 Virus.Win32.Agent.ICL
Kaspersky 7.0.0.125 2008.01.19 Trojan-Spy.Win32.Agent.azq
Prevx1 V2 2008.01.19 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.15 suspected of Backdoor.XiaoBird.25 (paranoid heuristics)

Information additionnelle
File size: 544256 bytes
MD5: 0fa81a1a4ea46c852d45ed4e73a78b5a
SHA1: 017abb52135fce702ffdf40952b2675071ee7ddc
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE13287A0027C8BF4E4008B5052DA5001373B371



Modifié par pc_account le 19/01/2008 09:56
Ananda
 Posté le 19/01/2008 à 10:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour pc_acc

Tu n'as rien à craindre des utilitaires que je te demandent d'utiliser, si tu les télécharges sur les liens que je te donne, il vaut mieux désactiver toutes tes protections quand tu les utilisent, car comme les malwares qu'ils détruisent ils ont la capacités de détecter et détruire ces mêmes malwares en utilisant les mêmes procédés, ces pour ça que certains Anti-machin ne les apprécient pas.

Pour mwisys32_080112.dll, tu peux supprimer manuellement si ça coince avec OtMoveit.


*********************

Edit: Installe un Pare-feu avant de continuer

*********************

* Lance HijackThis pour un scan Scan seulement (Do a system scan only)
Puis coche les lignes suivantes en gras

O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O8 - Extra context menu item: ????????????? - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: ??? Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

* Fermer toutes les fenêtres Windows, .....sauf le logiciel HijackThis et clique sur Fixer l'objet

Ton rapport est léger, comme je les aime;

**********************
Poste les rapports ComboFix (fraichement chargé)
et un nouveau Diaghelp.

a+



Modifié par Ananda le 19/01/2008 10:06
pc_account
 Posté le 19/01/2008 à 17:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ananda,

Je me posais la question de savoir si un malware pouvait me contaminer les fichiers au download.

Je n'ai pas reussi a supprimer les lignes O3 suivantes:

O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)

J'ai essaye en mode sans echec sans plus de succes, meme apres reboot, en m'assurant de n'avoir aucune autre fenetre ouverte.


Voici les rapports Hijack, Combofix et Diaghelp.

Merci.

Pc_acc


Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:19:15, on 2008-1-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
End of file - 2545 bytes

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

ComboFix 08-01-18.5 - new 2008-01-19 20:16:07.2 - [color=red]FAT32[/color]x86
執行位置: C:\Documents and Settings\new\桌面\ComboFix.exe
* 已建立新的還原點

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((((( 其他遭刪除的檔案 ))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\RSBDBACKUP.DLL

.
(((((((((((((((((((((((((((( 2007-12-19 - 2008-01-19 之間建立的檔案 )))))))))))))))))))))))))))))))))
.

2008-01-19 12:47 . 2008-01-19 12:55 4,483,036 --a------ C:\EX_combofix.rar
2008-01-17 00:13 . 2008-01-17 03:28 11,527,396 --a------ C:\upload_moi_MICROSOF-333E64.tar.gz
2008-01-16 21:34 . 2008-01-16 21:34 268 --ah----- C:\sqmdata02.sqm
2008-01-16 21:34 . 2008-01-16 21:34 244 --ah----- C:\sqmnoopt02.sqm
2008-01-16 17:32 . 2004-08-17 20:00 20,480 -rahs---- C:\windows\system32\Updatedate.exe
2008-01-15 23:07 . 2008-01-15 23:07 <DIR> d-------- C:\windows\BDOSCAN8
2008-01-15 22:55 . 2008-01-16 00:24 214 --a------ C:\windows\system32\mywehit.ini
2008-01-15 22:54 . 2008-01-15 22:54 <DIR> d-------- C:\windows\system32\inf
2008-01-15 22:54 . 2008-01-19 18:08 482 --a------ C:\windows\pwisys.ini
2008-01-15 22:45 . 2008-01-17 03:28 15,779,680 --a------ C:\upload_moi_MICROSOF-333E64_150107.tar.gz
2008-01-15 21:23 . 2008-01-16 18:28 15,785,260 --a------ C:\upload_moi_MICROSOF-333E64_sansechec.tar.gz
2008-01-15 17:56 . 2000-08-31 08:00 51,200 --a------ C:\windows\NirCmd.exe
2008-01-15 00:08 . 2008-01-15 00:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-14 23:05 . 2008-01-16 22:23 396,288 --a------ C:\Documents and Settings\new\HijackThis.exe
2008-01-14 18:29 . 2008-01-14 18:32 43,223 --a------ C:\windows\k
2008-01-14 17:31 . 2008-01-14 17:31 <DIR> d-------- C:\LL
2008-01-14 17:09 . 2008-01-14 17:09 <DIR> d-------- C:\Documents and Settings\new\Application Data\Uniblue
2008-01-14 16:32 . 2008-01-14 17:00 1,635 --a------ C:\windows\kk.txy
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> d-------- C:\Documents and Settings\Administrator\桌面
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> dr------- C:\Documents and Settings\Administrator\「开始」菜单
2008-01-14 15:26 . 2008-01-14 15:26 <DIR> d-------- C:\Program Files\kk
2008-01-14 13:30 . 2008-01-14 13:30 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-01-14 12:13 . 2008-01-15 16:08 61,440 --a------ C:\windows\lee.exe
2008-01-13 23:08 . 2008-01-13 23:08 <DIR> d-------- C:\Documents and Settings\new\Application Data\Grisoft
2008-01-13 23:07 . 2007-05-30 20:10 10,872 --a------ C:\windows\system32\drivers\AvgAsCln.sys
2008-01-13 23:06 . 2008-01-13 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-13 22:45 . 2008-01-13 22:45 <DIR> d-------- C:\Program Files\CCleaner
2008-01-13 22:27 . 2008-01-13 22:27 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-22 19:04 . 2007-12-22 19:04 <DIR> d-------- C:\Program Files\CosmoSoftware

.
(((((((((((((((((((((((((((((((((((( 近三個月內更動的檔案 )))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 08:48 59,504 ------w C:\WINDOWS\system32\drivers\HookNtos.sys
2008-01-11 08:48 34,928 ------w C:\WINDOWS\system32\drivers\HOOKREG.sys
2008-01-11 08:48 30,448 ------w C:\WINDOWS\system32\drivers\HookHelp.sys
2007-11-28 08:43 237,168 ------w C:\WINDOWS\system32\bsmain.exe
2007-11-28 08:42 162,288 ------w C:\WINDOWS\system32\drivers\HookSys.sys
2007-11-16 09:57 113,264 ----a-w C:\WINDOWS\system32\RavExt.dll
2007-11-14 07:27 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-30 10:15 3,079,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,312,320 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:43 1,060,864 ------w C:\WINDOWS\system32\mfc71.dll
2007-10-19 22:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-19 22:01 227,328 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2006-01-04 16:23 2,707,592 ----a-w C:\Program Files\Foxit Reader.exe
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Watchdate.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\systemAsdter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\drivermeat.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\driverrepair.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\centerwindows.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\drivercenter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Firwallcenter.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\windowsUpdate.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\policedriver.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\Watchreport.exe
2004-08-17 12:00 20,480 --sha-r C:\WINDOWS\system32\Updatedate.exe
2004-08-17 12:00 20,480 --sh--r C:\WINDOWS\system32\phoneflash.exe
.

(((((((((((((((((((((((((((((((((((((((((( 重要登錄檔 )))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*注意* 空白或合法的登錄值將不會顯示.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-08 04:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavTask"="C:\Program Files\Rising\Rav\RavTask.exe" [2007-12-21 20:13 211568]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= C:\WINDOWS\system32\RavExt.dll [2007-11-16 17:57 113264]

[color=red]安全模式登錄檔已損壞,電腦目前無法進入安全模式[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 17:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-08 04:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

.
排程工作資料夾的內容
"2006-11-14 13:21:52 C:\WINDOWS\Tasks\SyncBack Mike.job"
- C:\Program Files\2BrightSparks\SyncBack\SyncBack.ex
- C:\Program Files\2BrightSparks\SyncBack
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 20:22:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

掃描隱藏的程序 ...

掃描隱藏的進程 ...

掃描隱藏的檔案 ...

掃描完成
隱藏檔案: 0

**************************************************************************
.
完成時間: 2008-01-19 20:24:08
ComboFix-quarantined-files.txt 2008-01-19 12:24:02
.
2008-01-18 09:54:49 --- E O F ---


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

DiagHelp version v1.4 - http://www.malekal.com
excute le ??? 2008-01-19 ?22:32:29.31


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->2006-5-30 18:05:30
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->2006-5-30 18:05:28
C:\WINDOWS\prefetch\MMC.EXE-3B59A269.pf -->2006-5-30 18:05:12
C:\WINDOWS\prefetch\CONIME.EXE-2543A6D8.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\CTFMON.EXE-05E57A5E.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\MIXER.EXE-0034D2AC.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\SYSTRAY.EXE-0E2413B4.pf -->2006-5-30 18:05:02
C:\WINDOWS\prefetch\MSIEXEC.EXE-330626DC.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\AUTOHAL.EXE-0A0BD524.pf -->2006-5-30 18:04:54

C:\WINDOWS\System32\drivers\HookNtos.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HOOKREG.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HookHelp.sys -->2008-1-11 16:48:20
C:\WINDOWS\System32\drivers\HookSys.sys -->2007-11-28 16:42:48
C:\WINDOWS\System32\drivers\tcpip.sys -->2007-10-31 1:20:56
C:\WINDOWS\System32\drivers\HookCont.sys -->2007-10-25 19:46:18
C:\WINDOWS\System32\drivers\RsNTGdi.sys -->2007-10-25 19:44:10

C:\WINDOWS\System32\BsMain.ini -->2008-1-19 12:49:44
C:\WINDOWS\System32\mywehit.ini -->2008-1-16 0:24:22
C:\WINDOWS\System32\PerfStringBackup.INI -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfh0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfc0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfh009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfc009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\fntcache.dat -->2008-1-14 17:45:38
C:\WINDOWS\System32\wpa.dbl -->2008-1-13 23:18:30
C:\WINDOWS\System32\mrt.exe -->2008-1-3 2:21:36
C:\WINDOWS\System32\TZLog.log -->2007-12-21 3:02:26
C:\WINDOWS\System32\bsmain.exe -->2007-11-28 16:43:06
C:\WINDOWS\System32\RavExt.dll -->2007-11-16 17:57:12
C:\WINDOWS\System32\jscript.dll -->2007-11-14 15:27:10
C:\WINDOWS\System32\tzchange.exe -->2007-11-13 19:31:12
C:\WINDOWS\System32\lsasrv.dll -->2007-11-7 17:26:38
C:\WINDOWS\System32\mshtml.dll -->2007-10-30 18:15:38
C:\WINDOWS\System32\quartz.dll -->2007-10-30 6:42:34
C:\WINDOWS\System32\xpsp3res.dll -->2007-10-29 16:35:12
C:\WINDOWS\System32\shell32.dll -->2007-10-26 0:54:52
C:\WINDOWS\System32\mfc71.dll -->2007-10-25 17:43:32
C:\WINDOWS\System32\wmasf.dll -->2007-10-20 6:01:32
C:\WINDOWS\System32\urlmon.dll -->2007-10-11 14:12:10
C:\WINDOWS\System32\wininet.dll -->2007-10-11 14:12:10
C:\WINDOWS\System32\shdocvw.dll -->2007-10-11 14:12:08

C:\WINDOWS\system.ini -->2008-1-19 22:07:36
C:\WINDOWS\WindowsUpdate.log -->2008-1-19 21:53:20
C:\WINDOWS\0.log -->2008-1-19 21:50:48
C:\WINDOWS\wiadebug.log -->2008-1-19 21:50:42
C:\WINDOWS\bootstat.dat -->2008-1-19 21:49:28
C:\WINDOWS\win.ini -->2008-1-19 21:47:44
C:\WINDOWS\wiaservc.log -->2008-1-19 21:32:24
C:\WINDOWS\IE4 Error Log.txt -->2008-1-19 20:30:28
C:\WINDOWS\pwisys.ini -->2008-1-19 18:08:32
C:\WINDOWS\Rav.inf -->2008-1-19 12:49:46
C:\WINDOWS\RsConfig.ini -->2008-1-19 12:28:42
C:\WINDOWS\setupapi.log -->2008-1-18 23:05:14
C:\WINDOWS\WgaNotify.log -->2008-1-18 17:54:48
C:\WINDOWS\XDICT.INI -->2008-1-18 16:59:14
C:\WINDOWS\KSPHONET.FOR -->2008-1-18 16:51:54

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
Explorer.EXE pid: 2520
Command line: "C:\WINDOWS\explorer.exe"

Base Size Version Path
0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76af0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7c9c0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x00cb0000 0x2b000 C:\Program Files\WinRAR\rarext.dll
0x10000000 0x1c000 20.00.0000.0017 C:\WINDOWS\system32\RavExt.dll
0x23700000 0x28000 20.00.0000.0016 C:\Program Files\Rising\Rav\RSCOMMON.DLL
0x1c000000 0x9000 1.00.0000.0001 C:\Program Files\Vim\vim71\gvimext.dll
0x00dd0000 0x19000 1.04.0000.0000 C:\Program Files\FlexHEX\FxCtx.dll
0x01300000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x01450000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x028c0000 0x10000 8.00.0000.0456 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\office11\msohev.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e00000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d30000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61be0000 0xd000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x58a30000 0xd000 5.06.0000.6626 C:\WINDOWS\system32\wshCHS.DLL
0x36d30000 0x1a000 11.00.6551.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 652
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x7c000 \??\C:\WINDOWS\system32\winlogon.exe
0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\WINDOWS\system32

2004-08-08 04:00 6,144 csrss.exe
1 File(s) 6,144 bytes
0 Dir(s) 4,906,958,848 bytes free

Contenu de Downloaded Program Files
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\WINDOWS\Downloaded Program Files

2006-05-30 17:51 <DIR> .
2006-05-30 17:51 <DIR> ..
2006-01-02 02:12 65 desktop.ini
2005-11-03 20:24 495 LegitCheckControl.inf
2000-01-20 15:25 1,162 Microsoft XML Parser for Java.osd
2006-03-17 13:55 122,880 PG_ATL_Edit.dll
2007-05-16 08:22 399 gp.inf
2007-06-11 12:21 5,021 swflash.inf
2005-03-14 14:38 126 live.ini
2005-03-14 14:58 7,073 scanoptions.tsi
2005-03-16 12:34 7,407 lang.ini
2006-05-25 01:21 53,248 ipsupd.dll
2006-05-25 01:21 118,784 bdupd.dll
2004-12-07 17:07 32 libfn.dll
2004-12-07 17:07 32 bdcore.dll
2007-10-25 16:54 471,040 oscan8.ocx
2007-10-29 16:45 1,244 oscan8.inf
15 File(s) 789,008 bytes

Total Files Listed:
15 File(s) 789,008 bytes
2 Dir(s) 4,906,958,848 bytes free

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2



Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui ?????"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="????????"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
152 - guard.exe
628 - csrss.exe
652 - winlogon.exe
696 - services.exe
708 - lsass.exe
876 - svchost.exe
964 - svchost.exe
1064 - CCenter.exe
1092 - svchost.exe
1168 - svchost.exe
1180 - Ravmond.exe
1640 - RavStub.exe
1732 - spoolsv.exe
1972 - RavTask.exe
1984 - alg.exe
1996 - Ravmon.exe
2044 - svchost.exe
2276 - iexplore.exe
2520 - Explorer.EXE
3128 - wscntfy.exe
3256 - cmd.exe
3880 - RsAgent.exe
3948 - AgentSvr.exe

Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

80800000 - \WINDOWS\system32\ntoskrnl.exe
80A15000 - \WINDOWS\system32\hal.dll
F9D29000 - \WINDOWS\system32\KDCOM.DLL
F9C39000 - \WINDOWS\system32\BOOTVID.dll
F97DA000 - ACPI.sys
F9D2B000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F97C9000 - pci.sys
F9829000 - isapnp.sys
F9D2D000 - aliide.sys
F9AA9000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F9D2F000 - intelide.sys
F9DF1000 - pciide.sys
F9D31000 - toside.sys
F9D33000 - viaidexp.sys
F9D35000 - cmdide.sys
F9839000 - MountMgr.sys
F97AA000 - ftdisk.sys
F9D37000 - dmload.sys
F9784000 - dmio.sys
F9AB1000 - PartMgr.sys
F9849000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F9859000 - VolSnap.sys
F975B000 - \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
F9743000 - atapi.sys
F9979000 - AAC.SYS
F9B39000 - AEC6290.SYS
F9B41000 - AEC67160.SYS
F9C5D000 - AEC671X.SYS
F9B49000 - AEC6880.SYS
F9999000 - PNP649R.SYS
F99A9000 - RAIDSRC.SYS
F9B61000 - SISRAIDS.SYS
F99C9000 - SYMMPI.SYS
F99D9000 - disk.sys
F9325000 - fltMgr.sys
F9313000 - sr.sys
F92F0000 - Fastfat.sys
F92D9000 - KSecDD.sys
F9B69000 - usbohci.sys
F92B6000 - \WINDOWS\system32\DRIVERS\USBPORT.SYS
F9289000 - NDIS.sys
F99E9000 - viaagp.sys
F9DF3000 - RsNTGdi.sys
F926E000 - Mup.sys
F99F9000 - agp440.sys
F9A29000 - \SystemRoot\system32\DRIVERS\p3.sys
F8F8E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F8F7A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F9A39000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F9B01000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F9B09000 - \SystemRoot\system32\DRIVERS\fdc.sys
F9A49000 - \SystemRoot\system32\DRIVERS\serial.sys
F9CE9000 - \SystemRoot\system32\DRIVERS\serenum.sys
F8F66000 - \SystemRoot\system32\DRIVERS\parport.sys
F9A59000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F9A69000 - \SystemRoot\system32\DRIVERS\redbook.sys
F8F43000 - \SystemRoot\system32\DRIVERS\ks.sys
F9B11000 - \SystemRoot\system32\drivers\usbuhci.sys
F8F2F000 - \SystemRoot\system32\DRIVERS\Rtnicxp.sys
F8ED2000 - \SystemRoot\system32\drivers\cmaudio.sys
F8EAE000 - \SystemRoot\system32\drivers\portcls.sys
F9A79000 - \SystemRoot\system32\drivers\drmk.sys
F9CF1000 - \SystemRoot\system32\DRIVERS\fsvga.sys
F9E86000 - \SystemRoot\system32\DRIVERS\audstub.sys
F9A89000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F9CF5000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F8E97000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F9A99000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F94F3000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F9B19000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8E86000 - \SystemRoot\system32\DRIVERS\psched.sys
F94E3000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F9B21000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F9B29000 - \SystemRoot\system32\DRIVERS\raspti.sys
F8E55000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F94D3000 - \SystemRoot\system32\DRIVERS\termdd.sys
F9B31000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F9D3B000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8DFC000 - \SystemRoot\system32\DRIVERS\update.sys
F9D0D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F9D11000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F94C3000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9B81000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F94A3000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9D41000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F9D43000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F9EB7000 - \SystemRoot\System32\Drivers\Null.SYS
F9D45000 - \SystemRoot\System32\Drivers\Beep.SYS
F9EBA000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F9B91000 - \SystemRoot\System32\drivers\vga.sys
F9D47000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9D49000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9B99000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9BA1000 - \SystemRoot\System32\Drivers\Npfs.SYS
F923A000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F6DA1000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F6D49000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F6D21000 - \SystemRoot\system32\DRIVERS\netbt.sys
F6D00000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F9493000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F6CDE000 - \SystemRoot\System32\drivers\afd.sys
F9483000 - \SystemRoot\system32\DRIVERS\netbios.sys
F6CB3000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F6C44000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F6C1E000 * --[Hidden]--
F9BA9000 - \SystemRoot\system32\drivers\HOOKHELP.sys
F9BB1000 - \SystemRoot\system32\drivers\HookReg.sys
F9463000 - \SystemRoot\system32\drivers\HookNtos.sys
F9D4B000 - \SystemRoot\system32\drivers\HookCont.sys
F9216000 - \SystemRoot\System32\Drivers\Fips.SYS
F9EDF000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F917A000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F91F6000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F9BB9000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F9176000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F91E6000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F6BDE000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9D4D000 * --[Hidden]--
BF800000 - \SystemRoot\System32\win32k.sys
F915E000 - \SystemRoot\System32\drivers\Dxapi.sys
F9BC1000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F9F58000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
F6AB2000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F66D9000 - \SystemRoot\system32\drivers\wdmaud.sys
F68BE000 * --[Hidden]--
F62FC000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F603B000 - \SystemRoot\System32\Drivers\HTTP.sys
F9DA1000 - \??\C:\WINDOWS\system32\Drivers\PROCEXP90.SYS
F5793000 - \SystemRoot\system32\drivers\kmixer.sys
F9E68000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 132

Liste des programmes installes

A-Men Technologies USB-to-Serial
ACDSee 5.0.1 PowerPack
ActiveState ActiveTcl 8.4.16.0
Adobe Reader 8.1.0
Adobe? Photoshop? Album Starter Edition 3.2
ASF-AVI-RM-WMV Repair 1.82
AVG Anti-Spyware 7.5
AVIcodec (remove only)
CCleaner (remove only)
Cool Edit 2000
EPSON 打印?
FlexHEX
FreePortScanner 2.5
Google Toolbar for Internet Explorer
Graphics Converter Pro v6.8x
GSM SIM Utility 9.0
HijackThis 2.0.2
Huge Pine USB to UART Driver
MemoryLifter2
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Speech API 4.0
Microsoft Text-to-Speech Engine
PCI Audio Driver
PDFCreator
SyncBack
VideoLAN VLC media player 0.8.6a
Vim 7.1 (self-installing)
WebFldrs XP
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player (KB911564) 安全
Windows Media Player 10
Windows Media Player 10 (KB911565) 安全
Windows Media Player 10 (KB917734) 安全
Windows Media Player 10 (KB936782) 安全
Windows Media Player 6.4 (KB925398) 安全
Windows XP (KB923689) 安全
Windows XP (KB941569) 安全
Windows XP 安全更新 (KB901
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB912
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB916
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB919
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB930
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB932
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB936
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB939
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB942
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB944
Windows XP 更新 (KB90048
Windows XP 更新 (KB90853
Windows XP 更新 (KB91128
Windows XP 更新 (KB91659
Windows XP 更新 (KB92087
Windows XP 更新 (KB92258
Windows XP 更新 (KB92789
Windows XP 更新 (KB92933
Windows XP 更新 (KB93091
Windows XP 更新 (KB93183
Windows XP 更新 (KB93336
Windows XP 更新 (KB93635
Windows XP 更新 (KB93882
Windows XP 更新 (KB94276
Windows XP 更新 (KB94284
Windows XP 更新 (KB94662
WinRAR 压缩文?
Yahoo!相册,简易的上
暴风
卡卡上网
千千静听 4
瑞星杀
用于 Microsoft .NET Framework 2.0 的 Security Update (KB9283



Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\Program Files

2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-11-14 21:05 <DIR> 2BrightSparks
2006-05-30 19:31 <DIR> 8738512010643WDM
2006-05-30 17:45 <DIR> ACD Systems
2007-07-05 15:16 <DIR> Adobe
2007-03-03 15:49 <DIR> ASF-AVI-RM-WMV Repair
2007-02-26 19:21 <DIR> AVIcodec
2006-07-25 19:41 <DIR> BitComet
2008-01-13 22:45 <DIR> CCleaner
2006-05-30 19:33 <DIR> C-Media
2006-05-30 17:44 <DIR> Common Files
2006-05-30 17:45 <DIR> ComPlus Applications
2007-06-29 13:03 <DIR> Cool2000
2007-12-22 19:04 <DIR> CosmoSoftware
2007-02-25 15:35 <DIR> eMule
2006-05-30 18:17 <DIR> EPSON
2007-03-02 13:18 <DIR> FlexHEX
2006-01-05 00:23 2,707,592 Foxit Reader.exe
2006-07-19 20:58 <DIR> GnetSecCtrl
2006-07-16 20:50 <DIR> Goldwave
2007-02-25 15:35 <DIR> Google
2008-01-13 23:06 <DIR> Grisoft
2006-10-30 19:58 <DIR> GSM SIM Utility 9.0
2008-01-16 22:23 <DIR> HijackThis
2007-03-02 00:57 <DIR> IconCool Software
2006-05-30 17:45 <DIR> Internet Explorer
2006-05-30 19:18 <DIR> KINGSOFT
2008-01-14 15:26 <DIR> kk
2007-10-28 00:56 <DIR> LearnLift
2006-05-30 17:46 <DIR> Microsoft ActiveSync
2006-05-30 17:45 <DIR> microsoft frontpage
2006-05-30 17:45 <DIR> Microsoft Office
2006-05-30 17:45 <DIR> Movie Maker
2006-05-30 17:45 <DIR> MSN Gaming Zone
2006-05-31 20:18 <DIR> MSN Messenger
2006-05-30 17:45 <DIR> NetMeeting
2007-03-22 20:53 <DIR> Nsasoft
2006-05-30 17:45 <DIR> Online Services
2006-05-30 17:45 <DIR> Outlook Express
2007-03-19 19:41 <DIR> PDFCreator
2006-05-30 18:12 <DIR> QQGame
2006-05-30 17:45 <DIR> Real
2006-05-30 17:46 <DIR> Ringz Studio
2006-05-30 18:30 <DIR> Rising
2008-01-13 22:27 <DIR> Trend Micro
2006-05-30 17:45 <DIR> TTPlayer
2007-03-02 16:17 <DIR> VideoLAN
2007-11-16 01:40 <DIR> Vim
2006-05-30 17:45 <DIR> Windows Media Player
2006-05-30 17:45 <DIR> Windows NT
2006-05-30 17:45 <DIR> WinRAR
2006-05-30 17:45 <DIR> xerox
2006-05-30 17:45 <DIR> Xi
2007-03-01 22:44 <DIR> XnView
2006-06-08 18:26 <DIR> Yahoo!
2006-05-30 17:45 <DIR> ??
1 File(s) 2,707,592 bytes
56 Dir(s) 4,892,033,024 bytes free
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\Program Files\common files

2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-05-30 17:44 <DIR> Microsoft Shared
2006-05-30 17:45 <DIR> SpeechEngines
2006-05-30 17:45 <DIR> odbc
2006-05-30 17:45 <DIR> System
2006-05-30 17:45 <DIR> MSSoap
2006-05-30 17:45 <DIR> Services
2006-05-30 17:45 <DIR> ACD Systems
2006-05-30 17:45 <DIR> Real
2006-05-30 17:45 <DIR> designer
2006-10-30 19:57 <DIR> InstallShield
2007-07-05 15:16 <DIR> Adobe
0 File(s) 0 bytes
13 Dir(s) 4,892,033,024 bytes free




c:\Documents and Settings\new\HijackThis.exe
c:\Documents and Settings\new\??\ActiveTcl8.4.16.0.282109-win32-ix86-threaded.exe
c:\Documents and Settings\new\??\BitComet_0.60.exe
c:\Documents and Settings\new\??\ComboFix.exe
c:\Documents and Settings\new\??\EliBaglA.exe
c:\Documents and Settings\new\??\Eliworm.exe
c:\Documents and Settings\new\??\eMule-0.47c-VeryCD1215-Setup.exe
c:\Documents and Settings\new\??\gvim71.exe
c:\Documents and Settings\new\??\MLifter20SetupUS.exe
c:\Documents and Settings\new\??\MLifterRecorder_013_Beta.exe
c:\Documents and Settings\new\??\OTMoveIt.exe
c:\Documents and Settings\new\??\qq2007beta1kb1.exe
c:\Documents and Settings\new\??\SDFix.exe
c:\Documents and Settings\new\??\setup.exe
c:\Documents and Settings\new\??\spybotsd15.exe
c:\Documents and Settings\new\??\TencentVqq1230.exe
c:\Documents and Settings\new\??\whtoolbar.exe
c:\Documents and Settings\new\??\bureau_documents\AVIcodec_1.2_b110.exe
c:\Documents and Settings\new\??\bureau_documents\FreePortScanner.exe
c:\Documents and Settings\new\??\bureau_documents\QQChatRoom.exe
c:\Documents and Settings\new\??\GenProc\GenProc\outil\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\catchme.exe
c:\Documents and Settings\new\??\DiagHelp\diff.exe
c:\Documents and Settings\new\??\DiagHelp\dumphive.exe
c:\Documents and Settings\new\??\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\new\??\DiagHelp\find2.exe
c:\Documents and Settings\new\??\DiagHelp\Fport.exe
c:\Documents and Settings\new\??\DiagHelp\grep.exe
c:\Documents and Settings\new\??\DiagHelp\gzip.exe
c:\Documents and Settings\new\??\DiagHelp\KProcCheck.exe
c:\Documents and Settings\new\??\DiagHelp\LFiles.exe
c:\Documents and Settings\new\??\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\new\??\DiagHelp\md5sums.exe
c:\Documents and Settings\new\??\DiagHelp\pslist.exe
c:\Documents and Settings\new\??\DiagHelp\sigcheck.exe
c:\Documents and Settings\new\??\DiagHelp\streams.exe
c:\Documents and Settings\new\??\DiagHelp\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\tar.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\new\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_MICROSOF-333E64.tar.gz a l'adresse http://upload.malekal.com

Ananda
 Posté le 19/01/2008 à 20:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir

Fais analyser ces fichiers sur VirusTotal, je te donne la manip aprés diner.

A analyser
C:\WINDOWS\XDICT.INI
C:\WINDOWS\System32\bsmain.exe
C:\WINDOWS\KSPHONET.FOR

A+



Modifié par Ananda le 19/01/2008 21:52
Ananda
 Posté le 19/01/2008 à 22:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Si tu as les rapports ds fichiers au-dessus poste-les;

Fais ceci

  • Sélectionne et copie le texte suivant : (CTRL+C).

File::

C:\WINDOWS\System32\mywehit.ini.tmp
C:\WINDOWS\System32\mywehit.ini
C:\WINDOWS\pwisys.ini
C:\windows\k
C:\LL
C:\windows\kk.txy
C:\Program Files\kk
C:\windows\lee.exe

Registry::

[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F1ABCDB-A875-46c1-8345-B72A4567E486}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{2318C2B1-4965-11d4-9B18-009027A5CD4F}]
  • Ouvre le bloc-note (programme >>> Accessoire >>> bloc-note).
  • Colle le texte copié dans ce bloc-note (CTRL+V).
  • Sauvegarde ce fichier sous le nom de CFScript.txt
  • Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

********************

Télécharge Gmer.
http://www.gmer.net/gmer.zip

  • Dézippe le sur ton bureau.(clic droit/ extraire ici)
  • Déconnecte toi d'Internet puis et ferme tous les programmes.
  • Double-clique sur Gmer.exe.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

  • Clique sur l'onglet rootkit. A droite, coche Files et Services.
  • Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
  • Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
*******************

Regarde dans
C:\Windows\ServicePackFiles\i386
Si le fichier tcpip.sys est présent, si oui
tu remplaces celui qui se trouve dans
C:\Windows\System32\DRIVERS\tcpip.sys
par copier/coller

*******************

Fais un scan en ligne avec Kaspersky WebScanner (Utiliser Internet Explorer )
http://webscanner.kaspersky.fr/kavwebscan.html
  • Clique sur "j'acceptes", on t'explique la marche à suivre , et pour lancer le scan,
  • il faut sélectionner "Exécuter l'analyse en ligne".
  • Le scan ne marche que sous Internet Explorer.On va te demander de télécharger un contôle active x, accepte.
  • Dans le menu "Choisissez la cible de l'analyse",sélectionne "Poste de travail".
  • Le scan va commencer.
  • Enregistres et postes le rapport.

*******************

Poste les rapports

- ComboFix.txt

- Gmer

- kaspersky

- et un nouveau hijackthis;



Modifié par Ananda le 19/01/2008 22:43
Publicité
pc_account
 Posté le 20/01/2008 à 08:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Ananda

Voici les scans des fichiers. Ils sont negatifs
Bsmain.exe s'affiche avec une icone Rising.


Je passe a la suite.

A Bientot

Pc_acc

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fichier XDICT.INI reçu le 2008.01.20 07:56:53 (CET)Antivirus Version Dernière mise à jour Résultat

Information additionnelle
File size: 882 bytes
MD5: fac0cab4acba1dc54ff71dc690c68940
SHA1: b840236ea2cbbef1d445791edc984b159244cf89
PEiD: -

Fichier bsmain.exe reçu le 2008.01.20 07:59:05 (CET)Antivirus Version Dernière mise à jour Résultat


Information additionnelle
File size: 237168 bytes
MD5: 003398722283e9e7ef205982fecad781
SHA1: dc75da3feb27059abb172677678a268532e78f3f
PEiD: -


Fichier KSPHONET.FOR reçu le 2008.01.20 07:57:27 (CET)Antivirus Version Dernière mise à jour Résultat


Information additionnelle
File size: 1409 bytes
MD5: 5157f2cc4410f6b0c99b575b91f5a091
SHA1: 7f25ac1406335e1665df02888d19c67ecb865f12
PEiD: -

Ananda
 Posté le 20/01/2008 à 09:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour pc_acc

Tu peux envoyer la suite alors;

A+

pc_account
 Posté le 20/01/2008 à 09:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Rebonjour Ananda,

Voila donc la suite.

Le processus Combofix s'est bien deroule.


GMER n'a pas donne de resultats (files et services, C,D,E et ADS(?) coches).


Le scanner Karpesky refuse de se lancer (IE).
Il affiche la barre bleue animee d'attente d'initialisation en permanence, mais aucun debit du net a ce moment.
Il a cree quelques fichiers .dat et .tmp mais a la relance ne remande plus de les creer.
J'ai diminue de haut a moyen les filtres du parefeu mais sans resultat.

Je n'ai pas trouve de repertoire c:\Windows\ServicePackFiles

Tcpip.sys est bien present dams C:\Windows\System32\DRIVERS\
C:\Windows\System32\DLLCACHE et dans des quelques autres repertoires.

Les lignes O3 resistent toujours.

Merci beaucoup

Pc_acc

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

ComboFix 08-01-20.1 - new 2008-01-20 15:22:12.4 - [color=red]FAT32[/color]x86
執行位置: C:\Documents and Settings\new\桌面\ComboFix.exe
Command switches used
C:\Documents and Settings\new\桌面\CFScript.txt
* 已建立新的還原點

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\LL
C:\Program Files\kk
C:\windows\k
C:\windows\kk.txy
C:\windows\lee.exe
C:\WINDOWS\pwisys.ini
C:\WINDOWS\System32\mywehit.ini
C:\WINDOWS\System32\mywehit.ini.tmp
.

(((((((((((((((((((((((((((((((((((((( 其他遭刪除的檔案 ))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\windows\k
C:\windows\kk.txy
C:\windows\lee.exe
C:\WINDOWS\pwisys.ini
C:\WINDOWS\RSBDBACKUP.DLL
C:\WINDOWS\System32\mywehit.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\poof


(((((((((((((((((((((((((((( 2007-12-20 - 2008-01-20 之間建立的檔案 )))))))))))))))))))))))))))))))))
.

2008-01-19 22:34 . 2008-01-19 22:34 27,202,120 --a------ C:\upload_moi_MICROSOF-333E64_190108.tar.gz
2008-01-19 22:02 . 2008-01-19 22:02 <DIR> d-------- C:\QooBox_190108_2
2008-01-19 20:14 . 2008-01-19 20:14 <DIR> d-------- C:\QooBox_190108
2008-01-19 20:05 . 2008-01-19 20:05 <DIR> d-------- C:\ComboFix_190108
2008-01-19 12:47 . 2008-01-19 12:55 4,483,036 --a------ C:\EX_combofix.rar
2008-01-16 21:34 . 2008-01-16 21:34 268 --ah----- C:\sqmdata02.sqm
2008-01-16 21:34 . 2008-01-16 21:34 244 --ah----- C:\sqmnoopt02.sqm
2008-01-16 17:32 . 2004-08-17 20:00 20,480 -rahs---- C:\windows\system32\Updatedate.exe
2008-01-15 23:07 . 2008-01-15 23:07 <DIR> d-------- C:\windows\BDOSCAN8
2008-01-15 22:54 . 2008-01-15 22:54 <DIR> d-------- C:\windows\system32\inf
2008-01-15 22:45 . 2008-01-17 03:28 15,779,680 --a------ C:\upload_moi_MICROSOF-333E64_150107.tar.gz
2008-01-15 21:23 . 2008-01-16 18:28 15,785,260 --a------ C:\upload_moi_MICROSOF-333E64_sansechec.tar.gz
2008-01-15 17:56 . 2000-08-31 08:00 51,200 --a------ C:\windows\NirCmd.exe
2008-01-15 00:08 . 2008-01-15 00:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-14 23:05 . 2008-01-16 22:23 396,288 --a------ C:\Documents and Settings\new\HijackThis.exe
2008-01-14 17:09 . 2008-01-14 17:09 <DIR> d-------- C:\Documents and Settings\new\Application Data\Uniblue
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> d-------- C:\Documents and Settings\Administrator\桌面
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> dr------- C:\Documents and Settings\Administrator\「开始」菜单
2008-01-14 15:26 . 2008-01-14 15:26 <DIR> d-------- C:\Program Files\kk
2008-01-14 13:30 . 2008-01-14 13:30 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-01-13 23:08 . 2008-01-13 23:08 <DIR> d-------- C:\Documents and Settings\new\Application Data\Grisoft
2008-01-13 23:07 . 2007-05-30 20:10 10,872 --a------ C:\windows\system32\drivers\AvgAsCln.sys
2008-01-13 23:06 . 2008-01-13 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-13 22:45 . 2008-01-13 22:45 <DIR> d-------- C:\Program Files\CCleaner
2008-01-13 22:27 . 2008-01-13 22:27 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-22 19:04 . 2007-12-22 19:04 <DIR> d-------- C:\Program Files\CosmoSoftware

.
(((((((((((((((((((((((((((((((((((( 近三個月內更動的檔案 )))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 08:48 59,504 ------w C:\WINDOWS\system32\drivers\HookNtos.sys
2008-01-11 08:48 34,928 ------w C:\WINDOWS\system32\drivers\HOOKREG.sys
2008-01-11 08:48 30,448 ------w C:\WINDOWS\system32\drivers\HookHelp.sys
2007-11-28 08:43 237,168 ------w C:\WINDOWS\system32\bsmain.exe
2007-11-28 08:42 162,288 ------w C:\WINDOWS\system32\drivers\HookSys.sys
2007-11-16 09:57 113,264 ----a-w C:\WINDOWS\system32\RavExt.dll
2007-11-14 07:27 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-30 10:15 3,079,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,312,320 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:43 1,060,864 ------w C:\WINDOWS\system32\mfc71.dll
2006-01-04 16:23 2,707,592 ----a-w C:\Program Files\Foxit Reader.exe
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Watchdate.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\systemAsdter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\drivermeat.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\driverrepair.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\centerwindows.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\drivercenter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Firwallcenter.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\windowsUpdate.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\policedriver.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\Watchreport.exe
2004-08-17 12:00 20,480 --sha-r C:\WINDOWS\system32\Updatedate.exe
2004-08-17 12:00 20,480 --sh--r C:\WINDOWS\system32\phoneflash.exe
.

(((((((((((((((((((((((((((((((((((((((((( 重要登錄檔 )))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*注意* 空白或合法的登錄值將不會顯示.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= C:\WINDOWS\system32\RavExt.dll [2007-11-16 17:57 113264]

[color=red]安全模式登錄檔已損壞,電腦目前無法進入安全模式[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 17:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-08 04:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

.
排程工作資料夾的內容
"2006-11-14 13:21:52 C:\WINDOWS\Tasks\SyncBack Mike.job"
- C:\Program Files\2BrightSparks\SyncBack\SyncBack.ex
- C:\Program Files\2BrightSparks\SyncBack
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 15:31:35
Windows 5.1.2600 Service Pack 2 FAT NTAPI

掃描隱藏的程序 ...

掃描隱藏的進程 ...

掃描隱藏的檔案 ...

掃描完成
隱藏檔案: 0

**************************************************************************
.
完成時間: 2008-01-20 15:34:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-20 07:34:04
.
2008-01-18 09:54:49 --- E O F ---


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:45, on 2008-1-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
End of file - 2505 bytes

Ananda
 Posté le 20/01/2008 à 15:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

On va vérifier la présence de l'infection Purity

Télécharge : http://www.outerinfo.com/OiUninstaller.exe
Ferme tous les programmes ouverts
Execute OiUninstaller.exe
Redémarre l'ordinateur

*********************

Fais la même manip q'au-dessus avec ComboFix, en utilisant ce script

Driver::
poof

File::
C:\WINDOWS\system32\poof
C:\Program Files\kk

**********************

Le soucis avec ton fichier tcpip.sys

DiagHelp nous le donne

tcpip.sys
Verified: Unsigned

ce qui veut dire qu'il y a de fortes probabilités pour qu'il soit infecté.

Son emplacement d'origine

C:\WINDOWS\System32\drivers\tcpip.sys -->2007-10-31 1:20:56

Il existe une copie dans dllcache

C:\WINDOWS\system32\dllcache\tcpip.sys ------w 2007-10-30 17:20 360,064

mais vu la date (trés proche de l'autre) et le W ( indique qu'il peut être infecté aussi car pas en lecture seule)

le probléme c'est que tu n'as pas le CD et en lançant SFC /scannow, il y a de fortes chance pour que le CD te soit demander.

Donne-moi tout les emplacements des tcpip.sys que tu as avec leurs taille.

*******************

On verra aprés pour le scan en ligne

Comment se comporte ton PC?



Modifié par Ananda le 20/01/2008 22:09
pc_account
 Posté le 21/01/2008 à 07:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne


Salut Ananda,

Le PC se comporte beaucoup mieux. Il n'y a plus de fenetres de pub qui s'ouvre. Les problemes de bad handle avaient disparu des les premieres mesures.
Le flux internet semble normal en volume.

Les problemes qui subsistent:

- L'ouverture soudaine d'un programme non sollicite. Le premier symptome etait celui-la (le lecteur Real s'ouvrant au milieu de l'ecran).
J'avais supprime TKbell.exe par Hijackthis. Donc plus de RealPlayer je crois.
Mais un autre programme (le lecteur SIM Utility) vient de faire la meme chose hier.

En fait une amie a vu ce Weekend l'ouverture de REal se produire pareillement sur un portable XP2 connecte au meme reseau.
Cette machine est protegee par Symantech qui a traite l'attaque comme un couple de virus: Downloader, puis Trojan.Maliframe!html.

Le portable est reste sain.

Sur le site de Symantech, ces virus sont consideres comme anodins.

http://www.symantec.com/security_response/writeup.jsp?docid=2002-101518-4323-99

http://www.symantec.com/security_response/writeup.jsp?docid=2007-071010-4808-99

Donc je ne sais qu'en penser.

- Autre anomalie: Windows explorer ne voit pas en recherche sur noms de fichiers ce qui se trouvent sous windows.

La fenetre Msn Messenger qui etait au start-up et que j'avais supprimee par Hijackthis a spontanement reapparue.

(Elle cree des fichier sqmxxx.sqm sous C:)

Au reboot il y a une fenetre de Windows security qui previent que ce programme MSN est bloque pour des raisons de securite et qui demande de confirmer ou de reautoriser ce programme.
Un lien pointe sur un programme PCHEALTH. Je n'ai rien valide.

-En meme temps, et c'est nouveau. A chaque reboot j'ai remarque que l'icone du parefeu n'apparait pas (parapluie vert). Cependant le Windows security pretend que ce parefeu Rising est actif.
Si je verifie par l'API de Rising, la aussi le parefeu est declare actif.
Mais il ne l'est pas: j'ai mis des triggers sur l'ouverture de fenetre IE qui ne se declenchent pas.
Je dois aller demarrer manuellement la parefeu pour que l'icone apparaisse et pour que le parefeu fonctionne.

---

Bilan:

- J'ai passe OiUninstaller.exe .


J'ai recupere une version identique (meme release) tcpip.sys depuis un autre XP2 ( a priori sain) et je l'ai installee sous drivers.

Les numeros MD5 etaient differents sous DLLCACHE et DRIVERS)

--------------------------------------------------------
ANCIEN TCPIP.SYS SOUS DRIVERS
Fichier tcpip.sys reçu le 2008.01.20 18:43:49 (CET)Antivirus Version Dernière mise à jour Résultat

Information additionnelle
File size: 360064 bytes
MD5: ef7834c1d9ddf4c7da697d8c24a03791
SHA1: 2024a360f85e91341df9fd6f2faaa8928995ea05
PEiD: -

-------------

ANCIEN TCPIP.SYS sous DLLCACHE
Fichier tcpip.sys reçu le 2008.01.20 18:34:46 (CET)Antivirus Version Dernière mise à jour Résultat


Information additionnelle
File size: 360064 bytes
MD5: 90caff4b094573449a0872a0f919b178
SHA1: 01c29459e70719163d78add6b7098b8550292824
PEiD: -

-------------------------------------

NOUVEAU TCPIP.SYS SOUS DRIVERS et DLLCACHE

Fichier tcpip.sys reçu le 2008.01.20 18:47:23 (CET)Antivirus Version Dernière mise à jour Résultat


Information additionnelle
File size: 360064 bytes
MD5: 90caff4b094573449a0872a0f919b178
SHA1: 01c29459e70719163d78add6b7098b8550292824
PEiD: -


------------------------------------------------------------------------------------


Le Script sur Combofix s'est bien deroule.

J'ai fait un Diaghelp mais si l'upload a bien charge les 26 megas il a repondu a la fin "vous n'avez pas selectionne de fichiers.
Meme probleme avant hier)


Voici les rapports ci-dessous.

Bonne journee

Pc_Acc


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:48, on 2008-1-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\conime.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
End of file - 4744 bytes

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

ComboFix 08-01-20.1 - new 2008-01-21 2:16:56.5 - [color=red]FAT32[/color]x86
執行位置: C:\Documents and Settings\new\桌面\ComboFix.exe
Command switches used
C:\Documents and Settings\new\桌面\CFscript.txt
* 已建立新的還原點

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Program Files\kk
C:\WINDOWS\system32\poof
.

(((((((((((((((((((((((((((((((((((((( 其他遭刪除的檔案 ))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\RSBDBACKUP.DLL

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\poof


(((((((((((((((((((((((((((( 2007-12-20 - 2008-01-20 之間建立的檔案 )))))))))))))))))))))))))))))))))
.

2008-01-21 02:09 . 2008-01-21 02:09 27,526,891 --a------ C:\upload_moi_MICROSOF-333E64.tar.gz
2008-01-21 01:59 . 2007-10-31 01:20 360,064 --a------ C:\windows\system32\drivers\tcpip.sys
2008-01-21 01:59 . 2007-10-31 01:20 360,064 --a------ C:\windows\system32\dllcache\tcpip.sys
2008-01-20 16:02 . 2008-01-20 16:02 <DIR> d-------- C:\windows\system32\Kaspersky Lab
2008-01-20 15:43 . 2008-01-20 15:46 250 --a------ C:\windows\gmer.ini
2008-01-20 15:18 . 2008-01-20 15:18 <DIR> d-------- C:\QooBox_200108
2008-01-19 22:34 . 2008-01-19 22:34 27,202,120 --a------ C:\upload_moi_MICROSOF-333E64_190108.tar.gz
2008-01-19 22:02 . 2008-01-19 22:02 <DIR> d-------- C:\QooBox_190108_2
2008-01-19 20:14 . 2008-01-19 20:14 <DIR> d-------- C:\QooBox_190108
2008-01-19 20:05 . 2008-01-19 20:05 <DIR> d-------- C:\ComboFix_190108
2008-01-19 12:47 . 2008-01-19 12:55 4,483,036 --a------ C:\EX_combofix.rar
2008-01-16 21:34 . 2008-01-16 21:34 268 --ah----- C:\sqmdata02.sqm
2008-01-16 21:34 . 2008-01-16 21:34 244 --ah----- C:\sqmnoopt02.sqm
2008-01-16 17:32 . 2004-08-17 20:00 20,480 -rahs---- C:\windows\system32\Updatedate.exe
2008-01-15 23:07 . 2008-01-15 23:07 <DIR> d-------- C:\windows\BDOSCAN8
2008-01-15 22:54 . 2008-01-15 22:54 <DIR> d-------- C:\windows\system32\inf
2008-01-15 22:45 . 2008-01-17 03:28 15,779,680 --a------ C:\upload_moi_MICROSOF-333E64_150107.tar.gz
2008-01-15 21:23 . 2008-01-16 18:28 15,785,260 --a------ C:\upload_moi_MICROSOF-333E64_sansechec.tar.gz
2008-01-15 17:56 . 2000-08-31 08:00 51,200 --a------ C:\windows\NirCmd.exe
2008-01-15 00:08 . 2008-01-15 00:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-14 23:05 . 2008-01-16 22:23 396,288 --a------ C:\Documents and Settings\new\HijackThis.exe
2008-01-14 17:09 . 2008-01-14 17:09 <DIR> d-------- C:\Documents and Settings\new\Application Data\Uniblue
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> d-------- C:\Documents and Settings\Administrator\桌面
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> dr------- C:\Documents and Settings\Administrator\「开始」菜单
2008-01-14 15:26 . 2008-01-14 15:26 <DIR> d-------- C:\Program Files\kk
2008-01-14 13:30 . 2008-01-14 13:30 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-01-13 23:08 . 2008-01-13 23:08 <DIR> d-------- C:\Documents and Settings\new\Application Data\Grisoft
2008-01-13 23:07 . 2007-05-30 20:10 10,872 --a------ C:\windows\system32\drivers\AvgAsCln.sys
2008-01-13 23:06 . 2008-01-13 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-13 22:45 . 2008-01-13 22:45 <DIR> d-------- C:\Program Files\CCleaner
2008-01-13 22:27 . 2008-01-13 22:27 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-22 19:04 . 2007-12-22 19:04 <DIR> d-------- C:\Program Files\CosmoSoftware

.
(((((((((((((((((((((((((((((((((((( 近三個月內更動的檔案 )))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 08:48 59,504 ------w C:\WINDOWS\system32\drivers\HookNtos.sys
2008-01-11 08:48 34,928 ------w C:\WINDOWS\system32\drivers\HOOKREG.sys
2008-01-11 08:48 30,448 ------w C:\WINDOWS\system32\drivers\HookHelp.sys
2007-11-28 08:43 237,168 ------w C:\WINDOWS\system32\bsmain.exe
2007-11-28 08:42 162,288 ------w C:\WINDOWS\system32\drivers\HookSys.sys
2007-11-16 09:57 113,264 ----a-w C:\WINDOWS\system32\RavExt.dll
2007-11-14 07:27 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 10:15 3,079,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,312,320 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:43 1,060,864 ------w C:\WINDOWS\system32\mfc71.dll
2006-01-04 16:23 2,707,592 ----a-w C:\Program Files\Foxit Reader.exe
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Watchdate.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\systemAsdter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\drivermeat.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\driverrepair.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\centerwindows.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\drivercenter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Firwallcenter.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\windowsUpdate.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\policedriver.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\Watchreport.exe
2004-08-17 12:00 20,480 --sha-r C:\WINDOWS\system32\Updatedate.exe
2004-08-17 12:00 20,480 --sh--r C:\WINDOWS\system32\phoneflash.exe
.

(((((((((((((((((((((((((((((((((((((((((( 重要登錄檔 )))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*注意* 空白或合法的登錄值將不會顯示.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-08 04:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= C:\WINDOWS\system32\RavExt.dll [2007-11-16 17:57 113264]

[color=red]安全模式登錄檔已損壞,電腦目前無法進入安全模式[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 17:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-08 04:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

.
排程工作資料夾的內容
"2006-11-14 13:21:52 C:\WINDOWS\Tasks\SyncBack Mike.job"
- C:\Program Files\2BrightSparks\SyncBack\SyncBack.ex
- C:\Program Files\2BrightSparks\SyncBack
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-21 02:26:11
Windows 5.1.2600 Service Pack 2 FAT NTAPI

掃描隱藏的程序 ...

掃描隱藏的進程 ...

掃描隱藏的檔案 ...

掃描完成
隱藏檔案: 0

**************************************************************************
.
完成時間: 2008-01-21 2:28:54 - machine was rebooted [new]
ComboFix-quarantined-files.txt 2008-01-20 18:28:48
.
2008-01-18 09:54:49 --- E O F ---
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


DiagHelp version v1.4 - http://www.malekal.com
excute le ??? 2008-01-21 ?12:54:09.26


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->2006-5-30 18:05:30
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->2006-5-30 18:05:28
C:\WINDOWS\prefetch\MMC.EXE-3B59A269.pf -->2006-5-30 18:05:12
C:\WINDOWS\prefetch\CONIME.EXE-2543A6D8.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\CTFMON.EXE-05E57A5E.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\MIXER.EXE-0034D2AC.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\SYSTRAY.EXE-0E2413B4.pf -->2006-5-30 18:05:02
C:\WINDOWS\prefetch\MSIEXEC.EXE-330626DC.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\AUTOHAL.EXE-0A0BD524.pf -->2006-5-30 18:04:54

C:\WINDOWS\System32\drivers\gmer.sys -->2008-1-20 15:43:06
C:\WINDOWS\System32\drivers\HookNtos.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HOOKREG.sys -->2008-1-11 16:48:22
C:\WINDOWS\System32\drivers\HookHelp.sys -->2008-1-11 16:48:20
C:\WINDOWS\System32\drivers\HookSys.sys -->2007-11-28 16:42:48
C:\WINDOWS\System32\drivers\tcpip.sys -->2007-10-31 1:20:56
C:\WINDOWS\System32\drivers\HookCont.sys -->2007-10-25 19:46:18

C:\WINDOWS\System32\BsMain.ini -->2008-1-20 15:01:08
C:\WINDOWS\System32\PerfStringBackup.INI -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfh0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\prfc0804.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfh009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\perfc009.dat -->2008-1-15 18:26:58
C:\WINDOWS\System32\fntcache.dat -->2008-1-14 17:45:38
C:\WINDOWS\System32\wpa.dbl -->2008-1-13 23:18:30
C:\WINDOWS\System32\mrt.exe -->2008-1-3 2:21:36
C:\WINDOWS\System32\TZLog.log -->2007-12-21 3:02:26
C:\WINDOWS\System32\bsmain.exe -->2007-11-28 16:43:06
C:\WINDOWS\System32\RavExt.dll -->2007-11-16 17:57:12
C:\WINDOWS\System32\jscript.dll -->2007-11-14 15:27:10
C:\WINDOWS\System32\tzchange.exe -->2007-11-13 19:31:12
C:\WINDOWS\System32\lsasrv.dll -->2007-11-7 17:26:38
C:\WINDOWS\System32\mshtml.dll -->2007-10-30 18:15:38
C:\WINDOWS\System32\quartz.dll -->2007-10-30 6:42:34
C:\WINDOWS\System32\xpsp3res.dll -->2007-10-29 16:35:12
C:\WINDOWS\System32\shell32.dll -->2007-10-26 0:54:52
C:\WINDOWS\System32\mfc71.dll -->2007-10-25 17:43:32
C:\WINDOWS\System32\wmasf.dll -->2007-10-20 6:01:32
C:\WINDOWS\System32\urlmon.dll -->2007-10-11 14:12:10
C:\WINDOWS\System32\wininet.dll -->2007-10-11 14:12:10
C:\WINDOWS\System32\shdocvw.dll -->2007-10-11 14:12:08
C:\WINDOWS\System32\shlwapi.dll -->2007-10-11 14:12:08

C:\WINDOWS\WindowsUpdate.log -->2008-1-21 12:48:00
C:\WINDOWS\0.log -->2008-1-21 12:46:54
C:\WINDOWS\wiadebug.log -->2008-1-21 12:46:28
C:\WINDOWS\bootstat.dat -->2008-1-21 12:46:02
C:\WINDOWS\wiaservc.log -->2008-1-21 12:44:36
C:\WINDOWS\setupapi.log -->2008-1-21 12:40:46
C:\WINDOWS\system.ini -->2008-1-21 2:26:06
C:\WINDOWS\XDICT.INI -->2008-1-21 0:40:48
C:\WINDOWS\KSPHONET.FOR -->2008-1-21 0:39:24
C:\WINDOWS\gmer.ini -->2008-1-20 15:46:48
C:\WINDOWS\gmer_uninstall.cmd -->2008-1-20 15:43:06
C:\WINDOWS\gmer.dll -->2008-1-20 15:43:06
C:\WINDOWS\Rav.inf -->2008-1-20 15:01:04
C:\WINDOWS\RsConfig.ini -->2008-1-20 2:05:12
C:\WINDOWS\win.ini -->2008-1-19 21:47:44

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
Explorer.EXE pid: 1364
Command line: C:\WINDOWS\Explorer.EXE


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 652
Command line: winlogon.exe



Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\WINDOWS\system32

2004-08-08 04:00 6,144 csrss.exe
1 File(s) 6,144 bytes
0 Dir(s) 4,666,720,256 bytes free

Contenu de Downloaded Program Files
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\WINDOWS\Downloaded Program Files

2006-05-30 17:51 <DIR> .
2006-05-30 17:51 <DIR> ..
2006-01-02 02:12 65 desktop.ini
2005-11-03 20:24 495 LegitCheckControl.inf
2000-01-20 15:25 1,162 Microsoft XML Parser for Java.osd
2006-03-17 13:55 122,880 PG_ATL_Edit.dll
2007-05-16 08:22 399 gp.inf
2007-06-11 12:21 5,021 swflash.inf
2005-03-14 14:38 126 live.ini
2005-03-14 14:58 7,073 scanoptions.tsi
2005-03-16 12:34 7,407 lang.ini
2006-05-25 01:21 53,248 ipsupd.dll
2006-05-25 01:21 118,784 bdupd.dll
2004-12-07 17:07 32 libfn.dll
2004-12-07 17:07 32 bdcore.dll
2007-10-25 16:54 471,040 oscan8.ocx
2007-10-29 16:45 1,244 oscan8.inf
2006-08-08 11:45 576 kavwebscan.inf
16 File(s) 789,584 bytes

Total Files Listed:
16 File(s) 789,584 bytes
2 Dir(s) 4,666,720,256 bytes free

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Messenger"


Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui ?????"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="????????"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
628 - csrss.exe
652 - winlogon.exe
696 - services.exe
708 - lsass.exe
964 - svchost.exe
1064 - CCenter.exe
1092 - svchost.exe
1188 - Ravmond.exe
1364 - Explorer.EXE
1644 - RavStub.exe
1704 - spoolsv.exe
1912 - guard.exe
2380 - cmd.exe

Total number of processes = 14
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

80800000 - \WINDOWS\system32\ntoskrnl.exe
80A15000 - \WINDOWS\system32\hal.dll
F9D29000 - \WINDOWS\system32\KDCOM.DLL
F9C39000 - \WINDOWS\system32\BOOTVID.dll
F97DA000 - ACPI.sys
F9D2B000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F97C9000 - pci.sys
F9829000 - isapnp.sys
F9D2D000 - aliide.sys
F9AA9000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F9D2F000 - intelide.sys
F9DF1000 - pciide.sys
F9D31000 - toside.sys
F9D33000 - viaidexp.sys
F9D35000 - cmdide.sys
F9839000 - MountMgr.sys
F97AA000 - ftdisk.sys
F9D37000 - dmload.sys
F9784000 - dmio.sys
F9AB1000 - PartMgr.sys
F9849000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F9859000 - VolSnap.sys
F975B000 - \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
F9743000 - atapi.sys
F9979000 - AAC.SYS
F9B39000 - AEC6290.SYS
F9B41000 - AEC67160.SYS
F9C5D000 - AEC671X.SYS
F9B49000 - AEC6880.SYS
F9999000 - PNP649R.SYS
F99A9000 - RAIDSRC.SYS
F9B61000 - SISRAIDS.SYS
F99C9000 - SYMMPI.SYS
F99D9000 - disk.sys
F9325000 - fltMgr.sys
F9313000 - sr.sys
F92F0000 - Fastfat.sys
F92D9000 - KSecDD.sys
F9B69000 - usbohci.sys
F92B6000 - \WINDOWS\system32\DRIVERS\USBPORT.SYS
F9289000 - NDIS.sys
F99E9000 - viaagp.sys
F9DF3000 - RsNTGdi.sys
F926E000 - Mup.sys
F99F9000 - agp440.sys
F9A29000 - \SystemRoot\system32\DRIVERS\p3.sys
F8F8E000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F8F7A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F9A39000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F9B01000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F9B09000 - \SystemRoot\system32\DRIVERS\fdc.sys
F9A49000 - \SystemRoot\system32\DRIVERS\serial.sys
F9CE9000 - \SystemRoot\system32\DRIVERS\serenum.sys
F8F66000 - \SystemRoot\system32\DRIVERS\parport.sys
F9A59000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F9A69000 - \SystemRoot\system32\DRIVERS\redbook.sys
F8F43000 - \SystemRoot\system32\DRIVERS\ks.sys
F9B11000 - \SystemRoot\system32\drivers\usbuhci.sys
F8F2F000 - \SystemRoot\system32\DRIVERS\Rtnicxp.sys
F8ED2000 - \SystemRoot\system32\drivers\cmaudio.sys
F8EAE000 - \SystemRoot\system32\drivers\portcls.sys
F9A79000 - \SystemRoot\system32\drivers\drmk.sys
F9CF1000 - \SystemRoot\system32\DRIVERS\fsvga.sys
F9E86000 - \SystemRoot\system32\DRIVERS\audstub.sys
F9A89000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F9CF5000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F8E97000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F9A99000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F94F3000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F9B19000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8E86000 - \SystemRoot\system32\DRIVERS\psched.sys
F94E3000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F9B21000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F9B29000 - \SystemRoot\system32\DRIVERS\raspti.sys
F8E55000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F94D3000 - \SystemRoot\system32\DRIVERS\termdd.sys
F9B31000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F9D3B000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8DFC000 - \SystemRoot\system32\DRIVERS\update.sys
F9D0D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F9D11000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F94C3000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9B81000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F94A3000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9D41000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F9D43000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F9EB7000 - \SystemRoot\System32\Drivers\Null.SYS
F9D45000 - \SystemRoot\System32\Drivers\Beep.SYS
F9EBA000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F9B91000 - \SystemRoot\System32\drivers\vga.sys
F9D47000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9D49000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9B99000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9BA1000 - \SystemRoot\System32\Drivers\Npfs.SYS
F923A000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F6DA1000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F6D49000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F6D21000 - \SystemRoot\system32\DRIVERS\netbt.sys
F6D00000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F9493000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F6CDE000 - \SystemRoot\System32\drivers\afd.sys
F9483000 - \SystemRoot\system32\DRIVERS\netbios.sys
F6CB3000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F6C44000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F6C1E000 - \SystemRoot\system32\drivers\HookSys.sys
F9BA9000 - \SystemRoot\system32\drivers\HOOKHELP.sys
F9BB1000 - \SystemRoot\system32\drivers\HookReg.sys
F9463000 - \SystemRoot\system32\drivers\HookNtos.sys
F9D4B000 - \SystemRoot\system32\drivers\HookCont.sys
F9216000 - \SystemRoot\System32\Drivers\Fips.SYS
F9EDF000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F917A000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F91F6000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F9BB9000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F9176000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F91E6000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F6BDE000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9D4D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F915E000 - \SystemRoot\System32\drivers\Dxapi.sys
F9BC1000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F9F54000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
F6AAE000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F6701000 - \SystemRoot\system32\drivers\wdmaud.sys
F68F6000 * --[Hidden]--
F6324000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F6063000 - \SystemRoot\System32\Drivers\HTTP.sys
F585E000 - \SystemRoot\system32\drivers\kmixer.sys
F9E87000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 131

Liste des programmes installes

A-Men Technologies USB-to-Serial
ACDSee 5.0.1 PowerPack
ActiveState ActiveTcl 8.4.16.0
Adobe Reader 8.1.0
Adobe? Photoshop? Album Starter Edition 3.2
ASF-AVI-RM-WMV Repair 1.82
AVG Anti-Spyware 7.5
AVIcodec (remove only)
CCleaner (remove only)
Cool Edit 2000
EPSON 打印?
FlexHEX
FreePortScanner 2.5
Google Toolbar for Internet Explorer
Graphics Converter Pro v6.8x
GSM SIM Utility 9.0
HijackThis 2.0.2
Huge Pine USB to UART Driver
Kaspersky Online Scanner
MemoryLifter2
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Speech API 4.0
Microsoft Text-to-Speech Engine
PCI Audio Driver
PDFCreator
SyncBack
VideoLAN VLC media player 0.8.6a
Vim 7.1 (self-installing)
WebFldrs XP
Windows Live Messenger
Windows Media Format Runtime
Windows Media Player (KB911564) 安全
Windows Media Player 10
Windows Media Player 10 (KB911565) 安全
Windows Media Player 10 (KB917734) 安全
Windows Media Player 10 (KB936782) 安全
Windows Media Player 6.4 (KB925398) 安全
Windows XP (KB923689) 安全
Windows XP (KB941569) 安全
Windows XP 安全更新 (KB901
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB911
Windows XP 安全更新 (KB912
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB913
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB914
Windows XP 安全更新 (KB916
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB917
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB918
Windows XP 安全更新 (KB919
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB920
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB921
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB922
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB923
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB924
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB925
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB926
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB927
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB928
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB929
Windows XP 安全更新 (KB930
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB931
Windows XP 安全更新 (KB932
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB933
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB935
Windows XP 安全更新 (KB936
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB937
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB938
Windows XP 安全更新 (KB939
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB941
Windows XP 安全更新 (KB942
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB943
Windows XP 安全更新 (KB944
Windows XP 更新 (KB90048
Windows XP 更新 (KB90853
Windows XP 更新 (KB91128
Windows XP 更新 (KB91659
Windows XP 更新 (KB92087
Windows XP 更新 (KB92258
Windows XP 更新 (KB92789
Windows XP 更新 (KB92933
Windows XP 更新 (KB93091
Windows XP 更新 (KB93183
Windows XP 更新 (KB93336
Windows XP 更新 (KB93635
Windows XP 更新 (KB93882
Windows XP 更新 (KB94276
Windows XP 更新 (KB94284
Windows XP 更新 (KB94662
WinRAR 压缩文?
Yahoo!相册,简易的上
暴风
卡卡上网
千千静听 4
瑞星杀
用于 Microsoft .NET Framework 2.0 的 Security Update (KB9283



Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\Program Files

2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-11-14 21:05 <DIR> 2BrightSparks
2006-05-30 19:31 <DIR> 8738512010643WDM
2006-05-30 17:45 <DIR> ACD Systems
2007-07-05 15:16 <DIR> Adobe
2007-03-03 15:49 <DIR> ASF-AVI-RM-WMV Repair
2007-02-26 19:21 <DIR> AVIcodec
2006-07-25 19:41 <DIR> BitComet
2008-01-13 22:45 <DIR> CCleaner
2006-05-30 19:33 <DIR> C-Media
2006-05-30 17:44 <DIR> Common Files
2006-05-30 17:45 <DIR> ComPlus Applications
2007-06-29 13:03 <DIR> Cool2000
2007-12-22 19:04 <DIR> CosmoSoftware
2007-02-25 15:35 <DIR> eMule
2006-05-30 18:17 <DIR> EPSON
2007-03-02 13:18 <DIR> FlexHEX
2006-01-05 00:23 2,707,592 Foxit Reader.exe
2006-07-19 20:58 <DIR> GnetSecCtrl
2006-07-16 20:50 <DIR> Goldwave
2007-02-25 15:35 <DIR> Google
2008-01-13 23:06 <DIR> Grisoft
2006-10-30 19:58 <DIR> GSM SIM Utility 9.0
2008-01-16 22:23 <DIR> HijackThis
2007-03-02 00:57 <DIR> IconCool Software
2006-05-30 17:45 <DIR> Internet Explorer
2006-05-30 19:18 <DIR> KINGSOFT
2008-01-14 15:26 <DIR> kk
2007-10-28 00:56 <DIR> LearnLift
2006-05-30 17:46 <DIR> Microsoft ActiveSync
2006-05-30 17:45 <DIR> microsoft frontpage
2006-05-30 17:45 <DIR> Microsoft Office
2006-05-30 17:45 <DIR> Movie Maker
2006-05-30 17:45 <DIR> MSN Gaming Zone
2006-05-31 20:18 <DIR> MSN Messenger
2006-05-30 17:45 <DIR> NetMeeting
2007-03-22 20:53 <DIR> Nsasoft
2006-05-30 17:45 <DIR> Online Services
2006-05-30 17:45 <DIR> Outlook Express
2007-03-19 19:41 <DIR> PDFCreator
2006-05-30 18:12 <DIR> QQGame
2006-05-30 17:45 <DIR> Real
2006-05-30 17:46 <DIR> Ringz Studio
2006-05-30 18:30 <DIR> Rising
2008-01-13 22:27 <DIR> Trend Micro
2006-05-30 17:45 <DIR> TTPlayer
2007-03-02 16:17 <DIR> VideoLAN
2007-11-16 01:40 <DIR> Vim
2006-05-30 17:45 <DIR> Windows Media Player
2006-05-30 17:45 <DIR> Windows NT
2006-05-30 17:45 <DIR> WinRAR
2006-05-30 17:45 <DIR> xerox
2006-05-30 17:45 <DIR> Xi
2007-03-01 22:44 <DIR> XnView
2006-06-08 18:26 <DIR> Yahoo!
2006-05-30 17:45 <DIR> ??
1 File(s) 2,707,592 bytes
56 Dir(s) 4,638,605,312 bytes free
Volume in drive C has no label.
Volume Serial Number is 4C63-1A0F

Directory of C:\Program Files\common files

2006-05-30 17:44 <DIR> .
2006-05-30 17:44 <DIR> ..
2006-05-30 17:44 <DIR> Microsoft Shared
2006-05-30 17:45 <DIR> SpeechEngines
2006-05-30 17:45 <DIR> odbc
2006-05-30 17:45 <DIR> System
2006-05-30 17:45 <DIR> MSSoap
2006-05-30 17:45 <DIR> Services
2006-05-30 17:45 <DIR> ACD Systems
2006-05-30 17:45 <DIR> Real
2006-05-30 17:45 <DIR> designer
2006-10-30 19:57 <DIR> InstallShield
2007-07-05 15:16 <DIR> Adobe
0 File(s) 0 bytes
13 Dir(s) 4,638,605,312 bytes free




c:\Documents and Settings\new\HijackThis.exe
c:\Documents and Settings\new\??\ActiveTcl8.4.16.0.282109-win32-ix86-threaded.exe
c:\Documents and Settings\new\??\BitComet_0.60.exe
c:\Documents and Settings\new\??\ComboFix.exe
c:\Documents and Settings\new\??\EliBaglA.exe
c:\Documents and Settings\new\??\Eliworm.exe
c:\Documents and Settings\new\??\eMule-0.47c-VeryCD1215-Setup.exe
c:\Documents and Settings\new\??\gmer.exe
c:\Documents and Settings\new\??\gvim71.exe
c:\Documents and Settings\new\??\MLifter20SetupUS.exe
c:\Documents and Settings\new\??\MLifterRecorder_013_Beta.exe
c:\Documents and Settings\new\??\OiUninstaller.exe
c:\Documents and Settings\new\??\OTMoveIt.exe
c:\Documents and Settings\new\??\qq2007beta1kb1.exe
c:\Documents and Settings\new\??\SDFix.exe
c:\Documents and Settings\new\??\setup.exe
c:\Documents and Settings\new\??\spybotsd15.exe
c:\Documents and Settings\new\??\TencentVqq1230.exe
c:\Documents and Settings\new\??\whtoolbar.exe
c:\Documents and Settings\new\??\bureau_documents\AVIcodec_1.2_b110.exe
c:\Documents and Settings\new\??\bureau_documents\FreePortScanner.exe
c:\Documents and Settings\new\??\bureau_documents\QQChatRoom.exe
c:\Documents and Settings\new\??\GenProc\GenProc\outil\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\catchme.exe
c:\Documents and Settings\new\??\DiagHelp\diff.exe
c:\Documents and Settings\new\??\DiagHelp\dumphive.exe
c:\Documents and Settings\new\??\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\new\??\DiagHelp\find2.exe
c:\Documents and Settings\new\??\DiagHelp\Fport.exe
c:\Documents and Settings\new\??\DiagHelp\grep.exe
c:\Documents and Settings\new\??\DiagHelp\gzip.exe
c:\Documents and Settings\new\??\DiagHelp\KProcCheck.exe
c:\Documents and Settings\new\??\DiagHelp\LFiles.exe
c:\Documents and Settings\new\??\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\new\??\DiagHelp\md5sums.exe
c:\Documents and Settings\new\??\DiagHelp\pslist.exe
c:\Documents and Settings\new\??\DiagHelp\sigcheck.exe
c:\Documents and Settings\new\??\DiagHelp\streams.exe
c:\Documents and Settings\new\??\DiagHelp\swreg.exe
c:\Documents and Settings\new\??\DiagHelp\tar.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\new\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_MICROSOF-333E64.tar.gz a l'adresse http://upload.malekal.com

Ananda
 Posté le 21/01/2008 à 09:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour, PC_acc

on a pourtant bien avancer.

C'est bon pour le tcpp.sys, il n'avait pas la même signature mais le même poids?

- Autre anomalie: Windows explorer ne voit pas en recherche sur noms de fichiers ce qui se trouvent sous windows.

Je sais pas??

(Elle cree des fichier sqmxxx.sqm sous C:)

Ca c'est normal.

Un lien pointe sur un programme PCHEALTH. Je n'ai rien valide.


c'est le dossier qui permet d'utiliser le centre d'aide de windows, d'ailleurs il y avait une faille qui existé avant la version du SP1,
tu peux fermer le service correspondant si tu veux etre tranquille
executer : services.msc
aide ert support

En résumé il reste quelque chose mais je n'arrive pas à mettre la main dessus.

Les 03 qui décollent pas.

Il y a ces signes ? dans tes rapports qui sont en général le signe d'une infection Putity (traiter par OiUninstaller.exe ),

ce qui ne semble pas être le cas pour toi;

L'alerte en RED

[color=red]安全模式登錄檔已損壞,電腦目前無法進入安全模式[/color] dans le rapport Combo me laisse penser qu'il y a un rootkit,

malheureusement on a pas le nom, et Gmer n'a rien trouvé.

Comment apparait ceci sur ton PC

C:\Documents and Settings\Administrator\「开始」菜单

vois-tu les ?????

Je vais demander un coup de main

En attendant fais ceci.

***************************

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

*******************

  • Télécharge SREng (de Smallfrogs).
  • Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
  • Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
  • Clique sur "smart scan".
  • Clique sur le bouton "scan".
  • Quand l'analyse est terminée, clique sur le bouton "save reports".
  • Sauvegarde alors le rapport sur ton bureau.
  • Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

A+

pc_account
 Posté le 21/01/2008 à 15:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Oui Ananda le progres est reel.Je ne peux pas passer en mode sans echec par F8. Il accepte bien la selection de ce mode et fait le reboot mais n’arrive pas a terminer et reboot systematiquement en mode normal.J’utilise donc msconfig.Mais ce probleme est peut-etre le meme que celui signale en rouge par Combofix. Parles-tu de ces « ?? » dans le rapport DiagHelp ?c:\Documents and Settings\new\??\BitComet_0.60.exe
c:\Documents and Settings\new\??\ComboFix.exe
c:\Documents and Settings\new\??\EliBaglA.exe
c:\Documents and Settings\new\??\Eliworm.exe
Est-ce possible q’un des outils utilises par Diaghelp ne soit pas compile avec toutes les polices ? En traduction ceci C:\Documents and Settings\Administrator\「开始」菜单Apparait comme cela:

C:\Documents and Settings\Administrator\DemarrageMenu

Bonne journee

Pc_acc

Voici le resultat de eScan: File C:\WINDOWS\快速关机.exe tagged as not-a-virus:RiskTool.Win32.Shutdown.c. No Action Taken.File C:\Documents and Settings\new\桌面\OiUninstaller.exe tagged as not-a-virus:AdWare.Win32.PurityScan.gr. No Action Taken.File C:\Program Files\Trend Micro\HijackThis\backups\backup-20080116-124637-475-reportKPFW.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\Program Files\Trend Micro\HijackThis\backups\backup-20080118-051044-229-centerFirewall.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\Program Files\Trend Micro\HijackThis\backups\backup-20080118-213820-746-win2007.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\Program Files\Trend Micro\HijackThis\backups\backup-20080118-213820-257-WatchFirewall.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\Program Files\Trend Micro\HijackThis\backups\backup-20080118-213820-850-Rsadate.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\windows\快速关机.exe tagged as not-a-virus:RiskTool.Win32.Shutdown.c. No Action Taken.File C:\\_OTMoveIt\MovedFiles\WINDOWS\System32\system32.rar infected by "Trojan-Spy.Win32.Agent.azq" Virus. Action Taken: File Deleted.File C:\\_OTMoveIt\MovedFiles\WINDOWS\System32\mwisys32_080112.dll infected by "Trojan-Spy.Win32.Agent.azq" Virus. Action Taken: File Deleted.File C:\\_OTMoveIt\MovedFiles\Rsawin.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\\_OTMoveIt\MovedFiles\repairkey.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted.File C:\\_OTMoveIt\MovedFiles\RARsystem.exe infected by "Trojan-Clicker.Win32.Agent.qh" Virus. Action Taken: File Deleted. Puis le rapport Escan:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

[CODE]

2008-01-21,21:47:01

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
<SpybotSD TeaTimer><C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe> [N/A]
<msnmsgr><"C:\Program Files\MSN Messenger\msnmsgr.exe" /background> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<!AVG Anti-Spyware><"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized> [(Verified)GRISOFT LTD]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Component Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [(Verified)Beijing Rising Science and Technology Corporation Limited]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install> [Microsoft Corporation]

==================================
启动文件夹
N/A

==================================
服务
[AntilabAsdter / AntilabAsdter][Stopped/Disabled]
<C:\WINDOWS\system32\AntilabAsdter.exe><N/A>
[AVG Anti-Spyware Guard / AVG Anti-Spyware Guard][Running/Auto Start]
<C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe><GRISOFT s.r.o.>
[Google Updater Service / gusvc][Stopped/Manual Start]
<"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"><Google>
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[lenovoVGA / lenovoVGA][Stopped/Disabled]
<C:\WINDOWS\system32\lenovoVGA.exe><N/A>
[phoneflash / phoneflash][Stopped/Disabled]
<C:\WINDOWS\system32\phoneflash.exe><N/A>
[phonemouse / phonemouse][Stopped/Disabled]
<C:\WINDOWS\system32\phonemouse.exe><N/A>
[powerDELL / powerDELL][Stopped/Disabled]
<C:\WINDOWS\system32\powerDELL.exe><N/A>
[powerdriver / powerdriver][Stopped/Disabled]
<C:\WINDOWS\system32\powerdriver.exe><N/A>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
<"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
[Service Reanimator Server / SREASRV][Stopped/Disabled]
<C:\Program Files\Service Reanimator\Sreaserv.exe><N/A>

==================================
驱动程序
[a320raid / a320raid][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\a320raid.sys><Adaptec, Inc.>
[AAC / AAC][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AAC.SYS><Adaptec, Inc.>
[aar1210 / aar1210][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aar1210.sys><Adaptec, Inc.>
[abp480n5 / abp480n5][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\abp480n5.sys><Microsoft Corporation>
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Stopped/Manual Start]
<system32\drivers\ac97intc.sys><Intel Corporation>
[adpu160m / adpu160m][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\adpu160m.sys><Microsoft Corporation>
[adpu320 / adpu320][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\adpu320.sys><Adaptec, Inc.>
[ACARD AEC6210UF UltraDMA33 Controller / aec6210][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aec6210.sys><ACARD Technology Corp.>
[ACARD AEC6260 UltraDMA-66 Controller / aec6260][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aec6260.sys><ACARD Technology Corp.>
[aec6280 / aec6280][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aec6280.sys><ACARD Technology Corp.>
[AEC6290 / AEC6290][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AEC6290.SYS><ACARD Technology Corp.>
[AEC67160 / AEC67160][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AEC67160.SYS><ACARD Technology Corp.>
[AEC671X / AEC671X][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AEC671X.SYS><ACARD Technology Corp.>
[AEC6880 / AEC6880][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AEC6880.SYS><ACARD Technology Corp.>
[AEC6890 / AEC6890][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\AEC6890.sys><ACARD Technology Corp.>
[aec68x5 / aec68x5][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aec68x5.sys><ACARD Technology Corp.>
[Aha154x / Aha154x][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aha154x.sys><Microsoft Corporation>
[aic78u2 / aic78u2][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aic78u2.sys><Microsoft Corporation>
[aic78xx / aic78xx][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\aic78xx.sys><Microsoft Corporation>
[AliIde / AliIde][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\aliide.sys><Acer Laboratories Inc.>
[AMD K8 Processor Driver / AmdK8][Stopped/Manual Start]
<System32\DRIVERS\amdk8.sys><Microsoft Corporation>
[arc / arc][Stopped/Boot Start]
<\SystemRoot\system32\drivers\arc.sys><Adaptec, Inc.>
[asc / asc][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\asc.sys><Advanced System Products, Inc.>
[asc3550 / asc3550][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\asc3550.sys><Advanced System Products, Inc.>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver][Running/System Start]
<\??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln][Running/System Start]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[catchme / catchme][Stopped/Manual Start]
<\??\C:\DOCUME~1\new\LOCALS~1\Temp\catchme.sys><N/A>
[CmdIde / CmdIde][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\cmdide.sys><CMD Technology, Inc.>
[C-Media PCI Audio Driver (WDM) / cmpci][Running/Manual Start]
<system32\drivers\cmaudio.sys><C-Media Inc>
[dac2w2k / dac2w2k][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\dac2w2k.sys><Mylex Corporation>
[dpti2o / dpti2o][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\dpti2o.sys><Microsoft Corporation>
[elxstor / elxstor][Stopped/Boot Start]
<\SystemRoot\system32\drivers\elxstor.sys><Emulex>
[FASTSX / FASTSX][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\FASTSX.SYS><Promise Technology, Inc.>
[fasttrak / fasttrak][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\fasttrak.sys><Promise Technology, Inc.>
[fasttx2k / fasttx2k][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\fasttx2k.sys><Promise Technology, Inc.>
[fasttx2k2 / fasttx2k2][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\fasttx2k2.sys><Promise Technology, Inc.>
[VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start]
<system32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
[gmer / gmer][Stopped/Manual Start]
<System32\DRIVERS\gmer.sys><GMER>
[HookCont / HookCont][Running/System Start]
<\SystemRoot\system32\drivers\HookCont.sys><Beijing Rising Technology Co., Ltd>
[HookNtos / HookNtos][Running/System Start]
<\SystemRoot\system32\drivers\HookNtos.sys><Beijing Rising Technology Co., Ltd>
[HookReg / HookReg][Running/System Start]
<\SystemRoot\system32\drivers\HookReg.sys><Beijing Rising Technology Co., Ltd>
[HookSys / HookSys][Running/System Start]
<\SystemRoot\system32\drivers\HookSys.sys><Beijing Rising Technology Co., Ltd>
[HpCISSs / HpCISSs][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hpcisss.sys><Hewlett-Packard Company>
[Hpt366 / Hpt366][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\Hpt366.sys><Microsoft Corporation>
[HPT371 / HPT371][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\HPT371.sys><HighPoint Technologies, Inc.>
[hpt374 / hpt374][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\hpt374.sys><HighPoint Technologies, Inc.>
[hpt3xx / hpt3xx][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\hpt3xx.sys><HighPoint Technologies, Inc.>
[hptmv / hptmv][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\hptmv.sys><HighPoint Technologies, Inc.>
[hptpro / hptpro][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\hptpro.sys><HighPoint Technologies, Inc.>
[Intel Integrated RAID / iaStor][Stopped/Boot Start]
<\SystemRoot\system32\drivers\iaStor.sys><Intel Corporation>
[iirsp / iirsp][Stopped/Boot Start]
<\SystemRoot\system32\drivers\iirsp.sys><Intel Corp./ICP vortex GmbH>
[ini910u / ini910u][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ini910u.sys><Microsoft Corporation>
[ITERAID_Service_Install / iteraid][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\iteraid.sys><Integrated Technology Express, Inc.>
[LSI_SAS / LSI_SAS][Stopped/Boot Start]
<\SystemRoot\system32\drivers\lsi_sas.sys><LSI Logic>
[LSI_SCSI / LSI_SCSI][Stopped/Boot Start]
<\SystemRoot\system32\drivers\lsi_scsi.sys><LSI Logic>
[m5228 / m5228][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\m5228.sys><ALi Corporation.>
[m5281 / m5281][Stopped/Boot Start]
<\SystemRoot\system32\drivers\m5281.sys><ALi Corporation>
[MegaIDE / MegaIDE][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\MegaIDE.sys><LSI Logic Corporation.>
[megasas / megasas][Stopped/Boot Start]
<\SystemRoot\system32\drivers\megasas.sys><LSI Logic Corporation>
[mraid2k / mraid2k][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\mraid2k.sys><American Megatrends, Inc.>
[mraid35x / mraid35x][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\mraid35x.sys><American Megatrends Inc.>
[nfrd960 / nfrd960][Stopped/Boot Start]
<\SystemRoot\system32\drivers\nfrd960.sys><IBM Corporation>
[npkcrypt / npkcrypt][Stopped/Auto Start]
<\??\C:\Program Files\QQ2005\npkcrypt.sys><N/A>
[nv / nv][Running/Manual Start]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Intel SCSI Controller / NvAtaBus][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\NVATABUS.SYS><NVIDIA Corporation>
[NVIDIA nForce(tm) RAID Class Driver / nvraid][Stopped/Boot Start]
<\SystemRoot\system32\DRIVERS\nvraid.sys><NVIDIA Corporation>
[PNP649R / PNP649R][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\PNP649R.SYS><CMD Technology, Inc.>
[SiI 680 ATA Controller / Pnp680][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\pnp680.sys><Silicon Image, Inc.>
[Silicon Image SiI 0680 Medley Raid Controller / Pnp680r][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\pnp680r.sys><Silicon Image, Inc>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[ql1080 / ql1080][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ql1080.sys><QLogic Corporation>
[Ql10wnt / Ql10wnt][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ql10wnt.sys><Microsoft Corporation>
[ql12160 / ql12160][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ql12160.sys><QLogic Corporation>
[ql1280 / ql1280][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ql1280.sys><QLogic Corporation>
[QLogic Fibre Channel SCSI Miniport Driver / ql2300][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ql2300.sys><QLogic Corporation>
[RAIDSRC / RAIDSRC][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\RAIDSRC.SYS><Intel/ICP>
[RsAntiSpyware / RsAntiSpyware][Stopped/Disabled]
<\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising>
[RsNTGDI / RsNTGDI][Running/Boot Start]
<\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[Realtek 10/100/1000 NIC Family all in one NDIS XP Driver / RTL8023xp][Running/Manual Start]
<system32\DRIVERS\Rtnicxp.sys><Realtek Semiconductor Corporation>
[S150SX8 / S150SX8][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\S150SX8.SYS><Promise Technology, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[SiI-3512 SATALink Controller / SI3112][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SI3112.sys><Silicon Image, Inc.>
[Silicon Image SiI 3512 SATARaid Controller / SI3112r][Stopped/Boot Start]
<\SystemRoot\system32\drivers\SI3112r.sys><Silicon Image, Inc>
[SiI-3114 SATALink Controller / SI3114][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SI3114.sys><Silicon Image, Inc.>
[SiI-3114 SATARaid Controller / SI3114r][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SI3114R.sys><Silicon Image, Inc>
[SiI-3124 SATALink Controller / SI3124][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SI3124.sys><Silicon Image, Inc.>
[SiI-3124 SATARaid Controller / SI3124r][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SI3124R.sys><Silicon Image, Inc>
[SATALink driver accelerator / SiFilter][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SiWinAcc.sys><Silicon Image, Inc.>
[SISIDE / SISIDE][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SISIDE.SYS><Silicon Integrated Systems Corp.>
[SiSRaid / SiSRaid][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SiSRaid.sys><Silicon Integrated Systems>
[SiSRaid1 / SiSRaid1][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SiSRaid1.sys><Silicon Integrated Systems>
[SISRAIDS / SISRAIDS][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SISRAIDS.SYS><Silicon Integrated Systems Corp>
[Sparrow / Sparrow][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\sparrow.sys><Adaptec, Inc.>
[sptrak / sptrak][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\sptrak.sys><Promise Technology, Inc.>
[symc810 / symc810][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\symc810.sys><Symbios Logic Inc.>
[symc8xx / symc8xx][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\symc8xx.sys><LSI Logic>
[SYMMPI / SYMMPI][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\SYMMPI.SYS><LSI Logic>
[sym_hi / sym_hi][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\sym_hi.sys><LSI Logic>
[sym_u3 / sym_u3][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\sym_u3.sys><LSI Logic>
[TosIde / TosIde][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\toside.sys><Microsoft Corporation>
[UlSata / UlSata][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ulsata.sys><Promise Technology, Inc.>
[ULSATAS / ULSATAS][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ULSATAS.SYS><Promise Technology, Inc.>
[ultra / ultra][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\ultra.sys><Promise Technology, Inc.>
[USB to Serial Bridge Controller / usb2vcom][Stopped/Manual Start]
<System32\Drivers\usb2vcom.sys><>
[ViaIde / ViaIde][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\viaidexp.sys><VIA Technologies, Inc.>
[viamraid / viamraid][Stopped/Boot Start]
<\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>
[VIA ATA/ATAPI Host Controller / viapdsk][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\viapdsk.sys><VIA Technologies, Inc.>
[viaraid / viaraid][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\viaraid.sys><VIA Technologies inc,.ltd>
[viasraid / viasraid][Stopped/Boot Start]
<\SystemRoot\system32\drivers\viasraid.sys><VIA Technologies inc,.ltd>
[vmscsi / vmscsi][Stopped/Boot Start]
<\SystemRoot\system32\drivers\vmscsi.sys><VMware, Inc.>
[World Standard Teletext Codec / WSTCODEC][Stopped/Manual Start]
<system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>
[Vimicro USB PC Camera (ZC0301PL) / ZSMC301b][Stopped/Manual Start]
<System32\Drivers\usbVM31b.sys><VM>

==================================
浏览器加载项
[Adobe PDF Reader Link Helper]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Google Toolbar Notifier BHO]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} <C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll, Google Inc.>
[CKAVWebScan Object]
{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} <C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll, Kaspersky Lab>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft? Corporation>
[BDSCANONLINE Control]
{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} <C:\WINDOWS\BDOSCAN8\oscan82.ocx, SOFTWIN>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[Google Script Object]
{00EF2092-6AC5-47C0-BD25-CF2D5D657FEB} <c:\program files\google\googletoolbar2.dll, Google Inc.>
[Yahoo! 相册轻松上载工具 Class]
{0150EB11-5FB4-4D9E-85EA-0F155705227E} <C:\WINDOWS\cache\YDropperCN.dll, Yahoo! Inc.>
[Adobe PDF Reader Link Helper]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Web Browser Applet Control]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\WINDOWS\system32\msjava.dll, Microsoft Corporation>
[CKAVWebScan Object]
{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} <C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll, Kaspersky Lab>
[MozillaPluginHostCtrl Class]
{14E78123-A693-4F27-B6EE-DDDE18F93D3A} <D:\Program Files\Internet Explorer\PLUGINS\pluginhostctrl.dll, >
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[&Google]
{2318C2B1-4965-11D4-9B18-009027A5CD4F} <c:\program files\google\googletoolbar2.dll, Google Inc.>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[HtmlDlgSafeHelper Class]
{3050F819-98B5-11CF-BB82-00AA00BDCE0B} <C:\WINDOWS\system32\mshtmled.dll, Microsoft Corporation>
[IETag Factory]
{38481807-CA0E-42D2-BF39-B33AF135CC4D} <C:\PROGRA~1\COMMON~1\MICROS~1\SMARTT~1\IETAG.DLL, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\system32\msxml3.dll, N/A>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[BDSCANONLINE Control]
{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} <C:\WINDOWS\BDOSCAN8\oscan82.ocx, SOFTWIN>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[CibaCtrl Class]
{8DE0FCD4-5EB5-11D3-AD25-00002100131B} <C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL, >
[VqqSpeedDlProxy Class]
{9ADACAA6-533E-4383-AFA7-F0A66650B6D8} <C:\WINDOWS\vqqsdl10.dll, Tencent Technology (Shenzhen) Company Limited>
[Google Toolbar Helper]
{AA58ED58-01DD-4D91-8333-CF10577473F7} <c:\program files\google\googletoolbar2.dll, Google Inc.>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[Google Toolbar Notifier BHO]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} <C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll, Google Inc.>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[JoyoCtrl Class]
{C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} <C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL, >
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__WAV Moniker Class]
{CD3AFA7B-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[GetInfo Class]
{D5184A39-CBDF-4A4F-AC1A-7A45A852C883} <C:\Program Files\Yahoo!\Common\YVerInfo.dll, Yahoo! Inc.>
[MessengerChecker Class]
{DA4F543C-C8A9-4E88-9A79-548CBB46F18F} <C:\Program Files\Yahoo!\Messenger\YPagerChecker.dll, TODO: <Company name>>
[Messenger Class]
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} <, N/A>

==================================
正在运行的进程
[PID: 564 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 628 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 652 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 696 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 708 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 876 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 964 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1064 / SYSTEM][C:\Program Files\Rising\Rav\CCenter.exe] [Beijing Rising Technology Co., Ltd., 20.0.0.28]
[PID: 1092 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\wups2.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]
[PID: 1168 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1180 / SYSTEM][C:\PROGRAM FILES\RISING\RAV\Ravmond.exe] [Beijing Rising Technology Co., Ltd., 20.0.0.60]
[C:\PROGRAM FILES\RISING\RAV\BWList.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.4]
[C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\PROGRAM FILES\RISING\RAV\RSAPPMGR.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.0]
[C:\PROGRAM FILES\RISING\RAV\CfgDll.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.10]
[C:\PROGRAM FILES\RISING\RAV\RsLog.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.30]
[C:\PROGRAM FILES\RISING\RAV\ProcCom.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\PROGRAM FILES\RISING\RAV\RsCommX2.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\PROGRAM FILES\RISING\RAV\MonRule.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.24]
[C:\PROGRAM FILES\RISING\RAV\Hooksys.dll] [Beijing Rising Technology Co., Ltd, 22, 0, 0, 7]
[C:\PROGRAM FILES\RISING\RAV\HookReg.dll] [Beijing Rising Technology Co., Ltd, 22, 0, 0, 2]
[C:\PROGRAM FILES\RISING\RAV\HookNtos.dll] [Beijing Rising Technology Co., Ltd, 22, 0, 0, 2]
[C:\PROGRAM FILES\RISING\RAV\rswalmon.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 22]
[C:\PROGRAM FILES\RISING\RAV\recomp.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 22]
[C:\PROGRAM FILES\RISING\RAV\refs.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 12]
[C:\PROGRAM FILES\RISING\RAV\ffr.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 10]
[C:\Program Files\Rising\Rav\RsStore.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.8]
[C:\PROGRAM FILES\RISING\RAV\HookCont.dll] [Beijing Rising Technology Co., Ltd, 22, 0, 0, 1]
[C:\Program Files\Rising\Rav\fakescan.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.13]
[C:\Program Files\Rising\Rav\Scanner.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.35]
[C:\PROGRAM FILES\RISING\RAV\viruslib.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[C:\PROGRAM FILES\RISING\RAV\relibldr.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 13]
[C:\PROGRAM FILES\RISING\RAV\HookWeb.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.2]
[C:\PROGRAM FILES\RISING\RAV\nvfile.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 3]
[C:\PROGRAM FILES\RISING\RAV\extfile.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 28]
[C:\PROGRAM FILES\RISING\RAV\pearc.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 5]
[C:\PROGRAM FILES\RISING\RAV\scanexec.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 13]
[C:\PROGRAM FILES\RISING\RAV\unexe.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 4]
[C:\PROGRAM FILES\RISING\RAV\scanex.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 36]
[C:\PROGRAM FILES\RISING\RAV\scanpack.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 7]
[C:\PROGRAM FILES\RISING\RAV\revm.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 8]
[C:\PROGRAM FILES\RISING\RAV\urutils.dll] [, 20, 0, 0, 2]
[C:\PROGRAM FILES\RISING\RAV\ur000.dat] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 1]
[C:\PROGRAM FILES\RISING\RAV\scriptci.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 3]
[C:\PROGRAM FILES\RISING\RAV\uroutine.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 26]
[PID: 1364 / new][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[C:\WINDOWS\system32\RavExt.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.17]
[C:\Program Files\Rising\Rav\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[C:\Program Files\Vim\vim71\gvimext.dll] [Tianmiao Hu's Developer Studio, 1, 0, 0, 1]
[C:\Program Files\FlexHEX\FxCtx.dll] [Inv Sofrworks LLC, 1, 4, 0, 0]
[C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll] [GRISOFT s.r.o., 7, 5, 1, 36]
[C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 8.1.0.0]
[C:\Program Files\Microsoft Office\OFFICE11\msohev.dll] [Microsoft Corporation, 11.0.5510]
[PID: 1644 / SYSTEM][C:\PROGRAM FILES\RISING\RAV\RavStub.exe] [Beijing Rising Technology Co., Ltd., 20.0.0.9]
[C:\PROGRAM FILES\RISING\RAV\ProcCom.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\PROGRAM FILES\RISING\RAV\RsCommX2.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[PID: 1696 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[C:\WINDOWS\system32\EBPMON2.DLL] [SEIKO EPSON CORPORATION, 2, 20, 0, 0]
[C:\WINDOWS\system32\pdfcmnnt.dll] [N/A, ]
[PID: 1968 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 224 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 244 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 488 / new][C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe] [GRISOFT s.r.o., 7, 5, 1, 43]
[C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\engine.dll] [GRISOFT s.r.o., 4, 2, 0, 19]
[PID: 500 / new][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1784 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2320 / new][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]
[C:\WINDOWS\system32\wups2.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]
[PID: 2584 / new][C:\Program Files\Rising\Rav\RsAgent.exe] [Beijing Rising Technology Co., Ltd., 20.0.0.7]
[C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Rising\Rav\ProcCom.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\Program Files\Rising\Rav\RsCommX2.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[PID: 2604 / new][C:\WINDOWS\msagent\AgentSvr.exe] [Microsoft Corporation, 2.00.0.3424]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 3108 / new][C:\Program Files\Rising\Rav\RavMon.exe] [Beijing Rising Technology Co., Ltd., 20.0.01.10]
[C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Rising\Rav\ProcCom.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\Program Files\Rising\Rav\RsCommX2.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\Program Files\Rising\Rav\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[C:\Program Files\Rising\Rav\recomp.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 22]
[C:\Program Files\Rising\Rav\refs.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 12]
[C:\Program Files\Rising\Rav\viruslib.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[C:\Program Files\Rising\Rav\relibldr.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 13]
[C:\Program Files\Rising\Rav\RSAPPMGR.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.0]
[C:\Program Files\Rising\Rav\CfgDll.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.10]
[C:\Program Files\Rising\Rav\MonRule.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.24]
[C:\Program Files\Rising\Rav\PngDll.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 3]
[C:\Program Files\Rising\Rav\Rsguilib.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 88]
[C:\Program Files\Rising\Rav\RsXML.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 0]
[PID: 3284 / new][C:\Program Files\internet explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 8.0.0.2006102200]
[C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll] [Google Inc., 2, 0, 301, 7164]
[C:\Program Files\Microsoft Office\OFFICE11\msohev.dll] [Microsoft Corporation, 11.0.5510]
[C:\Program Files\Yahoo!\Messenger\YPagerChecker.dll] [TODO: <Company name>, 1.0.0.1]
[C:\Program Files\Yahoo!\Messenger\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll] [Microsoft Corporation, 8.1.0178.00]
[C:\WINDOWS\system32\Audiodev.dll] [Microsoft Corporation, 5.2.3802.3802 built by: dnsrv(bld4act)]
[C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 8.1.0.0]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1328 / new][C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE] [Microsoft Corporation, 11.0.6568]
[C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll] [Microsoft Corporation, 11.0.6568]
[C:\Program Files\Common Files\Microsoft Shared\office11\riched20.dll] [Microsoft Corporation, 5.50.99.2010]
[C:\Program Files\Rising\Rav\RsPlugIn.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.17]
[C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_DU14VE.DLL] [SEIKO EPSON Corporation, 0.3.0.0]
[C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_DMAI14.DLL] [SEIKO EPSON Corporation, 0. 3. 1. 8]
[C:\PROGRA~1\MICROS~2\OFFICE11\ADDINS\SYMINPUT.DLL] [Microsoft Corporation, 1.02]
[C:\WINDOWS\system32\MSVBVM60.DLL] [Microsoft Corporation, 6.00.9782]
[C:\Program Files\Common Files\Microsoft Shared\PROOF\MSSPELL3.DLL] [Microsoft Corporation, 1.1.6215]
[C:\Program Files\Common Files\Microsoft Shared\PROOF\mslid.dll] [Microsoft Corporation, 1.0.2305]
[C:\Program Files\Common Files\Microsoft Shared\PROOF\1033\MSGR3EN.DLL] [Microsoft Corporation, 3.1.7004]
[C:\Program Files\Microsoft Office\OFFICE11\msostyle.dll] [Microsoft Corporation, 11.0.5510]
[C:\PROGRA~1\COMMON~1\MICROS~1\SMARTT~1\INTLNAME.DLL] [Microsoft Corporation, 11.0.6467]
[C:\Program Files\Common Files\Microsoft Shared\Smart Tag\CHDATEST.DLL] [Microsoft Corporation, 2.00]
[C:\PROGRA~1\COMMON~1\MICROS~1\SMARTT~1\FNAME.DLL] [Microsoft Corporation, 11.0.5510]
[C:\PROGRA~1\COMMON~1\MICROS~1\SMARTT~1\2052\stintl.dll] [Microsoft Corporation, 11.0.5510]
[PID: 3832 / new][C:\Documents and Settings\new\桌面\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
[C:\Documents and Settings\new\桌面\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1 localhost

==================================
进程特权扫描
N/A

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]
Ananda
 Posté le 21/01/2008 à 16:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

esacn n'a pas trouvé grand chose de nouveau.

Je ne sais plus si je te l'avais demandé,

est-ce qui a téléchargé QQ2005?

Est-ce possible q’un des outils utilises par Diaghelp ne soit pas compile avec toutes les polices ?

je pense que si , de toute façon cela apparait sur tout les différents rapports.

il y a encore du monde, courage;

******************

Relance ComboFix avec ce script et post le rapport.

Driver::
npkcrypt
Secdrv

File::
C:\Program Files\QQ2005
C:\system32\DRIVERS\secdrv.sys

Folder::
C:\Program Files\kk

Redémarre ton PC et poste un nouveau rapport Hijackthis.

a+



Modifié par Ananda le 21/01/2008 17:57
pc_account
 Posté le 21/01/2008 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ananda,

QQ2005 est un package de Tencent. Son installation est sans doute faite avec celle de QQ messenger.

Je pensais sa desinstallation complete par OTMoveit.

Voici les derniers rapports.

Pc_acc.

xxxxxxxxxxxxxxxxxxxxxxxxxxx

ComboFix 08-01-20.1 - new 2008-01-22 0:30:10.7 - [color=red]FAT32[/color]x86
執行位置: C:\Documents and Settings\new\桌面\ComboFix.exe
Command switches used
C:\Documents and Settings\new\桌面\CFscript.txt
* 已建立新的還原點

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Program Files\QQ2005
C:\system32\DRIVERS\secdrv.sys
.

(((((((((((((((((((((((((((( 2007-12-21 - 2008-01-21 之間建立的檔案 )))))))))))))))))))))))))))))))))
.

2008-01-22 00:35 . 2008-01-22 00:35 268 --ah----- C:\sqmdata06.sqm
2008-01-22 00:35 . 2008-01-22 00:35 244 --ah----- C:\sqmnoopt06.sqm
2008-01-21 18:39 . 2008-01-21 18:39 <DIR> d-------- C:\Downloads
2008-01-21 18:39 . 2008-01-21 18:39 <DIR> d-------- C:\Bases
2008-01-21 18:37 . 2008-01-21 18:37 <DIR> d-------- C:\Kaspersky
2008-01-21 14:04 . 2008-01-21 14:04 268 --ah----- C:\sqmdata05.sqm
2008-01-21 14:04 . 2008-01-21 14:04 244 --ah----- C:\sqmnoopt05.sqm
2008-01-21 13:46 . 2008-01-21 13:46 268 --ah----- C:\sqmdata04.sqm
2008-01-21 13:46 . 2008-01-21 13:46 244 --ah----- C:\sqmnoopt04.sqm
2008-01-21 13:40 . 2008-01-21 13:40 <DIR> d-------- C:\QooBox_210108_2
2008-01-21 12:58 . 2008-01-21 12:58 27,526,958 --a------ C:\upload_moi_MICROSOF-333E64.tar.gz
2008-01-21 12:50 . 2008-01-21 12:50 268 --ah----- C:\sqmdata03.sqm
2008-01-21 12:50 . 2008-01-21 12:50 244 --ah----- C:\sqmnoopt03.sqm
2008-01-21 12:44 . 2008-01-21 12:44 268 --ah----- C:\sqmdata01.sqm
2008-01-21 12:44 . 2008-01-21 12:44 244 --ah----- C:\sqmnoopt01.sqm
2008-01-21 12:39 . 2007-10-31 01:20 360,064 --a------ C:\windows\system32\drivers\tcpip.sys
2008-01-21 12:39 . 2007-10-31 01:20 360,064 --a------ C:\windows\system32\dllcache\tcpip.sys
2008-01-21 02:32 . 2008-01-21 02:32 268 --ah----- C:\sqmdata00.sqm
2008-01-21 02:32 . 2008-01-21 02:32 244 --ah----- C:\sqmnoopt00.sqm
2008-01-21 02:09 . 2008-01-21 02:09 27,526,891 --a------ C:\upload_moi_MICROSOF-333E64_210108.tar.gz
2008-01-21 00:27 . 2008-01-21 00:27 <DIR> d-------- C:\QooBox_210108
2008-01-20 16:02 . 2008-01-20 16:02 <DIR> d-------- C:\windows\system32\Kaspersky Lab
2008-01-20 15:43 . 2008-01-20 15:46 250 --a------ C:\windows\gmer.ini
2008-01-20 15:18 . 2008-01-20 15:18 <DIR> d-------- C:\QooBox_200108
2008-01-19 22:34 . 2008-01-19 22:34 27,202,120 --a------ C:\upload_moi_MICROSOF-333E64_190108.tar.gz
2008-01-19 22:02 . 2008-01-19 22:02 <DIR> d-------- C:\QooBox_190108_2
2008-01-19 20:14 . 2008-01-19 20:14 <DIR> d-------- C:\QooBox_190108
2008-01-19 20:05 . 2008-01-19 20:05 <DIR> d-------- C:\ComboFix_190108
2008-01-19 12:47 . 2008-01-19 12:55 4,483,036 --a------ C:\EX_combofix.rar
2008-01-16 21:34 . 2008-01-16 21:34 268 --ah----- C:\sqmdata02.sqm
2008-01-16 21:34 . 2008-01-16 21:34 244 --ah----- C:\sqmnoopt02.sqm
2008-01-16 17:32 . 2004-08-17 20:00 20,480 -rahs---- C:\windows\system32\Updatedate.exe
2008-01-15 23:07 . 2008-01-15 23:07 <DIR> d-------- C:\windows\BDOSCAN8
2008-01-15 22:54 . 2008-01-15 22:54 <DIR> d-------- C:\windows\system32\inf
2008-01-15 22:45 . 2008-01-17 03:28 15,779,680 --a------ C:\upload_moi_MICROSOF-333E64_150107.tar.gz
2008-01-15 21:23 . 2008-01-16 18:28 15,785,260 --a------ C:\upload_moi_MICROSOF-333E64_sansechec.tar.gz
2008-01-15 17:56 . 2000-08-31 08:00 51,200 --a------ C:\windows\NirCmd.exe
2008-01-15 00:08 . 2008-01-15 00:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-14 23:05 . 2008-01-16 22:23 396,288 --a------ C:\Documents and Settings\new\HijackThis.exe
2008-01-14 17:09 . 2008-01-14 17:09 <DIR> d-------- C:\Documents and Settings\new\Application Data\Uniblue
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> d-------- C:\Documents and Settings\Administrator\桌面
2008-01-14 15:51 . 2006-05-30 17:44 <DIR> dr------- C:\Documents and Settings\Administrator\「开始」菜单
2008-01-14 15:26 . 2008-01-14 15:26 <DIR> d-------- C:\Program Files\kk
2008-01-14 13:30 . 2008-01-14 13:30 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-01-13 23:08 . 2008-01-13 23:08 <DIR> d-------- C:\Documents and Settings\new\Application Data\Grisoft
2008-01-13 23:07 . 2007-05-30 20:10 10,872 --a------ C:\windows\system32\drivers\AvgAsCln.sys
2008-01-13 23:06 . 2008-01-13 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-13 22:45 . 2008-01-13 22:45 <DIR> d-------- C:\Program Files\CCleaner
2008-01-13 22:27 . 2008-01-13 22:27 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-22 19:04 . 2007-12-22 19:04 <DIR> d-------- C:\Program Files\CosmoSoftware

.
(((((((((((((((((((((((((((((((((((( 近三個月內更動的檔案 )))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 08:48 59,504 ------w C:\WINDOWS\system32\drivers\HookNtos.sys
2008-01-11 08:48 34,928 ------w C:\WINDOWS\system32\drivers\HOOKREG.sys
2008-01-11 08:48 30,448 ------w C:\WINDOWS\system32\drivers\HookHelp.sys
2007-11-28 08:43 237,168 ------w C:\WINDOWS\system32\bsmain.exe
2007-11-28 08:42 162,288 ------w C:\WINDOWS\system32\drivers\HookSys.sys
2007-11-16 09:57 113,264 ----a-w C:\WINDOWS\system32\RavExt.dll
2007-11-14 07:27 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:26 699,392 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 10:15 3,079,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,269,760 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,312,320 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:43 1,060,864 ------w C:\WINDOWS\system32\mfc71.dll
2006-01-04 16:23 2,707,592 ----a-w C:\Program Files\Foxit Reader.exe
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Watchdate.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\systemAsdter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\drivermeat.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\driverrepair.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\centerwindows.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\drivercenter.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\Firwallcenter.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\windowsUpdate.exe
2004-08-17 12:00 28,672 --sh--r C:\WINDOWS\system32\policedriver.dll
2004-08-17 12:00 49,152 --sh--r C:\WINDOWS\system32\Watchreport.exe
2004-08-17 12:00 20,480 --sha-r C:\WINDOWS\system32\Updatedate.exe
2004-08-17 12:00 20,480 --sh--r C:\WINDOWS\system32\phoneflash.exe
.

(((((((((((((((((((((((((((((((((((((((((( 重要登錄檔 )))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*注意* 空白或合法的登錄值將不會顯示.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-08 04:00 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [ ]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 17:25 6731312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= C:\WINDOWS\system32\RavExt.dll [2007-11-16 17:57 113264]

[color=red]安全模式登錄檔已損壞,電腦目前無法進入安全模式[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

.
排程工作資料夾的內容
"2006-11-14 13:21:52 C:\WINDOWS\Tasks\SyncBack Mike.job"
- C:\Program Files\2BrightSparks\SyncBack\SyncBack.ex
- C:\Program Files\2BrightSparks\SyncBack
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:40:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

掃描隱藏的程序 ...

掃描隱藏的進程 ...

掃描隱藏的檔案 ...

掃描完成
隱藏檔案: 0

**************************************************************************
.
完成時間: 2008-01-22 0:44:03 - machine was rebooted
ComboFix2.txt 2008-01-21 05:53:58
ComboFix-quarantined-files.txt 2008-01-21 16:43:56
.
2008-01-18 09:54:49 --- E O F ---

xxxxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:53:44, on 2008-1-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
End of file - 5075 bytes

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
14,90 €Windows 10 Pro 32/64 bits OEM à 14,90 €
Valable jusqu'au 19 Août

Le vendeur sérieux LicenSE-ONLine propose sur Amazon  la clé d'activation pour Windows 10 professionnel en français 32 bits / 64 bits à 14,90 €. Cette clé livrée par email fonctionne avec l'outil d'installation et de création de support de Microsoft que vous pouvez télécharger ici ou directement avec l'ISO de Windows 10 Pro. De quoi installer légalement Windows 10 Pro sur un PC. Pour en savoir plus sur l'achat et l'installation d'une clé OEM de Windows 10, suivez les indications de notre dossier pratique.


> Voir l'offre
183,32 €Disque dur externe Western Digital Elements Desktop USB 3.0 10 To à 183,32 € livré
Valable jusqu'au 15 Août

Amazon Allemagne propose actuellement le disque dur externe Western Digital Elements Desktop USB 3.0 10 To à 176,89 € (avec la TVA ajustée). Comptez 6,43 € pour la livraison en France soit un total de 183,32 € livré. On le trouve ailleurs à partir de 229 €. Ce disque dur dispose d'un grande capacité de stockage (10 To) et d'une connectique USB 3.0 qui vous offrira des transferts rapides. Il est compatible USB 2.0. Une très bonne affaire. Notez que le disque dur n'est pas soudé et que vous pouvez le récupérer pour l'utiliser dans un ordinateur ou un NAS (il s'agit d'un disque dur CMR UltraStar DC HC 510).

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
15,14 €Pack de 25 CD-R Philips 800 Mo / 90 min à 15,14 €
Valable jusqu'au 15 Août

Amazon propose actuellement le pack de 25 CD-R Philips 800 Mo/90 minutes à 15,14 € alors qu'on les trouve ailleurs autour de 20 €. Ces disques offrent une grande capacité et une longue durée de vie.


> Voir l'offre

Sujets relatifs
demande d'aide pour rapport hijackthis
Demande d'aide pour Hijackthis
demande d'aide pour analyse HIJACKTHIS
Demande aide pour analyse de rapport hijackthis
demande d'aide pour un hijackthis
Demande d'aide pour action HIJACKTHIS
demande d aide pour analyser rapport hijackthis
demande d'aide pour hijackthis SVP
demande d'aide pour un scan hijackthis
Demande d'aide pour une désinféction, svp
Plus de sujets relatifs à Demande d''aide pour diagnostic HijackThis.log
 > Tous les forums > Forum Sécurité