Virus win32:SkiMorph ( cryp )

voila le rapport et merci


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:27, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Contrôle parental\fssui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] "C:\Documents and Settings\Tony & Katia\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe" -startup -product IncrediMail -skip_dialog language -skip_dialog info -ffmsc 12345
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [frdwhz] c:\documents and settings\tony & katia\local settings\application data\frdwhz.exe frdwhz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
End of file - 7134 bytes

je tenvoie les2 raport a la suite

- voila le premier rapport navilog1

Search Navipromo version 3.6.5 commencé le 13/09/2008 à 14:07:18,20

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Tony & Katia"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.5512
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Tony & Katia\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Tony & Katia\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" :

frdwhz.dat trouvé !
frdwhz_nav.dat trouvé !
frdwhz_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 13/09/2008 à 14:08:35,96 ***







- le second rapport de clean

13/09/2008 a 14:13:51,60

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND
C:\DOCUME~1\TONY FOUND

*** Recherche des fichiers dans C:\Program Files

voila les 2rapport

- le premier navilog en option 2

Clean Navipromo version 3.6.5 commencé le 13/09/2008 à 14:36:35,87

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Tony & Katia"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.5512
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Tony & Katia\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Tony & Katia\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Tony & Katia\locals~1\applic~1" *


frdwhz.dat trouvé !
Copie frdwhz.dat réalisée avec succès !
frdwhz.dat supprimé !

frdwhz_nav.dat trouvé !
Copie frdwhz_nav.dat réalisée avec succès !
frdwhz_nav.dat supprimé !

frdwhz_navps.dat trouvé !
Copie frdwhz_navps.dat réalisée avec succès !
frdwhz_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 13/09/2008 à 14:40:02,03 ***





le second rapport de clean en option 2

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 13/09/2008 a 14:55:00,46

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\DOCUME~1\TONY

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

quand j'ai telecharger diahelp j'ai eu un message sur mon ordinateur virus win32: trojan-gen (other) .sinon je fais ce que tu demande merci

voila le rapport

DiagHelp version v1.4 - http://www.malekal.com
excute le 13/09/2008 à 15:23:42,89


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-1776D62E.pf -->13/09/2008 15:23:41
C:\WINDOWS\prefetch\CMD.EXE-1DC04744.pf -->13/09/2008 15:23:21
C:\WINDOWS\prefetch\EXPLORER.EXE-02539965.pf -->13/09/2008 15:22:24
C:\WINDOWS\prefetch\VERCLSID.EXE-17B895EC.pf -->13/09/2008 15:21:48
C:\WINDOWS\prefetch\IEXPLORE.EXE-1A014120.pf -->13/09/2008 15:19:49
C:\WINDOWS\prefetch\INCMAIL.EXE-2573D250.pf -->13/09/2008 15:19:11
C:\WINDOWS\prefetch\NOTEPAD.EXE-09AFDA94.pf -->13/09/2008 15:00:39
C:\WINDOWS\prefetch\WMIPRVSE.EXE-07690A2C.pf -->13/09/2008 14:58:21
C:\WINDOWS\prefetch\WUAUCLT.EXE-121CB143.pf -->13/09/2008 14:58:20
C:\WINDOWS\prefetch\USNSVC.EXE-3540F2B9.pf -->13/09/2008 14:58:18

C:\WINDOWS\System32\drivers\RtkHDAud.sys -->08/07/2008 22:45:45
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 13:51:12
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 13:40:08
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 13:08:27
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:33:37
C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32
C:\WINDOWS\System32\drivers\aswmon2.sys -->16/05/2008 01:18:33

C:\WINDOWS\System32\wpa.dbl -->13/09/2008 14:57:21
C:\WINDOWS\System32\PerfStringBackup.INI -->05/09/2008 14:15:40
C:\WINDOWS\System32\perfh00C.dat -->05/09/2008 14:15:40
C:\WINDOWS\System32\perfh009.dat -->05/09/2008 14:15:40
C:\WINDOWS\System32\perfc00C.dat -->05/09/2008 14:15:40
C:\WINDOWS\System32\perfc009.dat -->05/09/2008 14:15:40
C:\WINDOWS\System32\spupdwxp.log -->05/09/2008 14:14:26
C:\WINDOWS\System32\FNTCACHE.DAT -->05/09/2008 14:13:44
C:\WINDOWS\System32\MRT.exe -->26/08/2008 22:28:12
C:\WINDOWS\System32\TZLog.log -->13/08/2008 09:35:40
C:\WINDOWS\System32\cdm.dll -->18/07/2008 22:10:48
C:\WINDOWS\System32\wuauclt.exe -->18/07/2008 22:10:42
C:\WINDOWS\System32\wups2.dll -->18/07/2008 22:10:40
C:\WINDOWS\System32\wucltui.dll.mui -->18/07/2008 22:10:36
C:\WINDOWS\System32\wups.dll -->18/07/2008 22:10:20
C:\WINDOWS\System32\wuaucpl.cpl.mui -->18/07/2008 22:09:56
C:\WINDOWS\System32\wucltui.dll -->18/07/2008 22:09:46
C:\WINDOWS\System32\wuaucpl.cpl -->18/07/2008 22:09:46
C:\WINDOWS\System32\wuweb.dll -->18/07/2008 22:09:44
C:\WINDOWS\System32\wuapi.dll -->18/07/2008 22:09:44
C:\WINDOWS\System32\wuaueng.dll -->18/07/2008 22:09:42
C:\WINDOWS\System32\wuapi.dll.mui -->18/07/2008 22:09:14
C:\WINDOWS\System32\wuaueng.dll.mui -->18/07/2008 22:09:06
C:\WINDOWS\System32\mucltui.dll -->18/07/2008 22:07:34
C:\WINDOWS\System32\muweb.dll -->18/07/2008 22:07:32

C:\WINDOWS\0.log -->13/09/2008 14:57:25
C:\WINDOWS\WindowsUpdate.log -->13/09/2008 14:57:24
C:\WINDOWS\bootstat.dat -->13/09/2008 14:57:19
C:\WINDOWS\ntbtlog.txt -->13/09/2008 14:55:30
C:\WINDOWS\setupact.log -->13/09/2008 14:55:26
C:\WINDOWS\setuperr.log -->13/09/2008 14:55:08
C:\WINDOWS\SchedLgU.Txt -->13/09/2008 14:49:51
C:\WINDOWS\NeroDigital.ini -->12/09/2008 20:25:37
C:\WINDOWS\WMSysPr9.prx -->05/09/2008 14:14:44
C:\WINDOWS\spybotsd160.exe -->09/08/2008 10:23:31
C:\WINDOWS\PhotoSnapViewer.INI -->08/08/2008 08:18:47
C:\WINDOWS\Shareaza_2.3.1.0_Win32.exe -->10/07/2008 18:33:23
C:\WINDOWS\WLinstaller.exe -->09/07/2008 11:36:46
C:\WINDOWS\installer-Avast-Home-Edition-French.exe -->09/07/2008 08:02:17
C:\WINDOWS\SoundMan.exe -->08/07/2008 22:45:46

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1824
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x136000 2.00.0016.0000 C:\Program Files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCR71.dll
0x4eb80000 0x1a6000 5.01.3102.5581 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
0x01360000 0x102000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71U.DLL
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MSVCP71.dll
0x01470000 0x2b5000 8.60.0000.0000 C:\Program Files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x01b80000 0x27000 1.00.0003.0021 C:\Program Files\IncrediMail\bin\B4ImApp.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x02430000 0xe000 2.00.6010.0000 C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
0x024c0000 0x8000 2.00.6010.0000 C:\Program Files\Windows Live\Contrôle parental\fsssvcps.dll
0x026b0000 0x187000 1.06.0000.0012 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x03720000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x7c140000 0x103000 7.10.3077.0000 C:\Program Files\Fichiers communs\Ahead\Lib\MFC71.DLL
0x03de0000 0x190000 5.05.0003.0000 C:\Program Files\Nero\Nero 7\InCD\InCDAPI2.dll
0x03fb0000 0x16000 5.05.0003.0000 C:\Program Files\Nero\Nero 7\InCD\NBHApi.dll
0x74da0000 0x6d000 5.30.0023.1230 C:\WINDOWS\system32\RICHED20.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 836
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C s'appelle Windows xp
Le numéro de série du volume est CCD5-645B

Répertoire de C:\WINDOWS\system32

14/04/2008 04:33 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 8 889 094 144 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle Windows xp
Le numéro de série du volume est CCD5-645B

Répertoire de C:\WINDOWS\Downloaded Program Files

10/09/2008 09:02 <REP> .
10/09/2008 09:02 <REP> ..
08/07/2008 20:54 65 desktop.ini
11/04/2007 14:55 1 292 erma.inf
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
20/06/2006 15:44 379 704 MsnPUpld.dll
19/06/2006 14:40 393 MsnPUpld.inf
20/06/2006 15:44 117 560 PURen-us.dll
09/01/2007 08:30 110 592 PURfr-fr.dll
06/08/2008 15:36 144 swdir.inf
24/03/2008 19:18 247 swflash.inf
30/07/2007 19:24 293 wuweb.inf
10 fichier(s) 2 137 346 octets

Total des fichiers listés :
10 fichier(s) 2 137 346 octets
2 Rép(s) 8 889 090 048 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\Installation\\Setupx.exe"="H:\\Installation\\Setupx.exe:*:Enabled:Nero ProductSetup"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 www.activexupdate.com
127.0.0.1 activexupdate.com
127.0.0.1 www.antispywareupdates.net
127.0.0.1 antispywareupdates.net
127.0.0.1 www.avpcheckupdate.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 eupdatepage.com
127.0.0.1 www.exeupdate.com
127.0.0.1 exeupdate.com
127.0.0.1 www.flwupdate.com
127.0.0.1 flwupdate.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 malwarewipeupdate.com
127.0.0.1 www.movupdate.com
127.0.0.1 movupdate.com
127.0.0.1 www.mpegupdate.com
127.0.0.1 mpegupdate.com
127.0.0.1 www.msupdate.net
127.0.0.1 msupdate.net
127.0.0.1 www.msupdater.net
127.0.0.1 msupdater.net
127.0.0.1 www.necessaryupdates.com
127.0.0.1 necessaryupdates.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 redirect.msupdate.net
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 securityupdatesite.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.systemupdates.net
127.0.0.1 systemupdates.net
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 update.680180.net
127.0.0.1 update.shareaza.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 updatemysettings.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 www.updatesantivirus.com
127.0.0.1 updatesantivirus.com
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 urgentsystemupdate.com
127.0.0.1 windupdates.com
127.0.0.1 www.pandaantivirus-2007.com
127.0.0.1 pandaantivirus-2007.com
127.0.0.1 www.pandadownload-now.com
127.0.0.1 pandadownload-now.com
127.0.0.1 www.panda-hq.com
127.0.0.1 panda-hq.com
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 15:24:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
156 - IncMail.exe
396 - fsssvc.exe
440 - InCDsrv.exe
812 - csrss.exe
836 - winlogon.exe
880 - services.exe
892 - lsass.exe
1064 - svchost.exe
1112 - svchost.exe
1256 - svchost.exe
1408 - svchost.exe
1484 - svchost.exe
1576 - ashServ.exe
1656 - InCD.exe
1672 - RTHDCPL.exe
1704 - ashDisp.exe
1780 - ctfmon.exe
1824 - explorer.exe
1956 - iexplore.exe
2072 - NMBgMonitor.exe
2120 - ashMaiSv.exe
2132 - msnmsgr.exe
2260 - ashWebSv.exe
2272 - TeaTimer.exe
2704 - NMIndexingServi
2748 - alg.exe
3136 - ImApp.exe
3508 - usnsvc.exe
4016 - cmd.exe

Total number of processes = 30
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E4000 - \WINDOWS\system32\hal.dll
F7A88000 - \WINDOWS\system32\KDCOM.DLL
F7998000 - \WINDOWS\system32\BOOTVID.dll
F7458000 - ACPI.sys
F7A8A000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F7447000 - pci.sys
F7588000 - isapnp.sys
F7B50000 - pciide.sys
F7808000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F7598000 - MountMgr.sys
F7428000 - ftdisk.sys
F7810000 - PartMgr.sys
F75A8000 - VolSnap.sys
F7410000 - atapi.sys
F75B8000 - disk.sys
F75C8000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F73F0000 - fltmgr.sys
F73DE000 - sr.sys
F73C7000 - KSecDD.sys
F733A000 - Ntfs.sys
F730D000 - NDIS.sys
F72F3000 - Mup.sys
F7778000 - \SystemRoot\System32\DRIVERS\intelppm.sys
F719C000 - \SystemRoot\System32\DRIVERS\igxpmp32.sys
F7188000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F7163000 - \SystemRoot\System32\DRIVERS\HDAudBus.sys
F7788000 - \SystemRoot\System32\DRIVERS\atl01_xp.sys
F78E0000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
F713F000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F78E8000 - \SystemRoot\System32\DRIVERS\usbehci.sys
F78F0000 - \SystemRoot\System32\DRIVERS\fdc.sys
F712B000 - \SystemRoot\System32\DRIVERS\parport.sys
F7AA8000 - \SystemRoot\System32\DRIVERS\ASACPI.sys
F7798000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F78F8000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F7900000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F711A000 - \SystemRoot\System32\DRIVERS\serial.sys
F7A4C000 - \SystemRoot\System32\DRIVERS\serenum.sys
F77A8000 - \SystemRoot\System32\DRIVERS\imapi.sys
F77B8000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F77C8000 - \SystemRoot\System32\DRIVERS\redbook.sys
F70F7000 - \SystemRoot\System32\DRIVERS\ks.sys
F7908000 - \SystemRoot\system32\drivers\InCDPass.sys
F77D8000 - \SystemRoot\system32\drivers\InCDRm.sys
F7C0A000 - \SystemRoot\System32\DRIVERS\audstub.sys
F77E8000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7A58000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F70E0000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F77F8000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F7628000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7910000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F70CF000 - \SystemRoot\System32\DRIVERS\psched.sys
F7638000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F7918000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F7920000 - \SystemRoot\System32\DRIVERS\raspti.sys
F7648000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7AAA000 - \SystemRoot\System32\DRIVERS\swenum.sys
F6FD1000 - \SystemRoot\System32\DRIVERS\update.sys
F7A64000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F7658000 - \SystemRoot\System32\Drivers\NDProxy.SYS
AA325000 - \SystemRoot\system32\drivers\RtkHDAud.sys
AA301000 - \SystemRoot\system32\drivers\portcls.sys
F7678000 - \SystemRoot\system32\drivers\drmk.sys
F7688000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7AAE000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F7928000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F7AB0000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7C39000 - \SystemRoot\System32\Drivers\Null.SYS
F7AB2000 - \SystemRoot\System32\Drivers\Beep.SYS
F7938000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F7940000 - \SystemRoot\System32\drivers\vga.sys
F7AB4000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7AB6000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7A40000 - \SystemRoot\System32\Drivers\InCDrec.SYS
AA235000 - \SystemRoot\system32\drivers\InCDFs.sys
F7948000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7950000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7A44000 - \SystemRoot\System32\DRIVERS\rasacd.sys
AA222000 - \SystemRoot\System32\DRIVERS\ipsec.sys
AA1C9000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F76A8000 - \SystemRoot\System32\Drivers\aswTdi.SYS
AA1A3000 - \SystemRoot\System32\DRIVERS\ipnat.sys
AA17B000 - \SystemRoot\System32\DRIVERS\netbt.sys
F76B8000 - \SystemRoot\System32\DRIVERS\wanarp.sys
AA159000 - \SystemRoot\System32\drivers\afd.sys
F76C8000 - \SystemRoot\System32\DRIVERS\netbios.sys
AA08E000 - \SystemRoot\System32\DRIVERS\rdbss.sys
AA01E000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F76E8000 - \SystemRoot\System32\Drivers\Fips.SYS
A9FDF000 - \SystemRoot\System32\Drivers\aswSP.SYS
F7958000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F7960000 - \SystemRoot\system32\DRIVERS\fbxusb32.sys
F7718000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A9FC7000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7AB8000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
AA2F9000 - \SystemRoot\System32\drivers\Dxapi.sys
F7968000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F7C5B000 - \SystemRoot\System32\drivers\dxgthk.sys
BF022000 - \SystemRoot\System32\igxpgd32.dll
BF012000 - \SystemRoot\System32\igxprd32.dll
BF049000 - \SystemRoot\System32\igxpdv32.DLL
BF188000 - \SystemRoot\System32\igxpdx32.DLL
F7980000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
AA0E9000 - \SystemRoot\system32\DRIVERS\fssfltr.sys
A9EC3000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
A9DD1000 - \SystemRoot\System32\Drivers\aswMon2.SYS
A9AAC000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F7B16000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A9942000 - \SystemRoot\System32\DRIVERS\srv.sys
A9905000 - \SystemRoot\system32\drivers\wdmaud.sys
AA119000 - \SystemRoot\system32\drivers\sysaudio.sys
A925C000 - \SystemRoot\System32\Drivers\HTTP.sys
A9240000 - \SystemRoot\System32\Drivers\aswRdr.SYS
A8CE4000 - \SystemRoot\system32\drivers\kmixer.sys
F7C50000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 118

Liste des programmes installes

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Français
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Adobe Shockwave Player 11
Application PC MTV 3.3 V1.8.24
Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver
Attansic Giga Ethernet Utility
Attansic L1 Gigabit Ethernet Driver
avast! Antivirus
CCleaner (remove only)
Correctif pour Windows XP (KB952287)
eMule
HijackThis 2.0.2
IncrediMail Xe
Intel(R) Graphics Media Accelerator Driver
LightScribe System Software 1.10.13.1
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB913433)
Mise à jour de sécurité pour Windows XP (KB938464)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950759)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB953838)
Mise à jour de sécurité pour Windows XP (KB953839)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB951072-v2)
Mise à jour pour Windows XP (KB951978)
MSXML 4.0 SP2 (KB936181)
Navilog1 3.6.5
Nero 7 Essentials
neroxml
Realtek High Definition Audio Driver
Shareaza 2.3.1.0
Spybot - Search & Destroy
VideoLAN VLC media player 0.8.6a
WebFldrs XP
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live OneCare Contrôle parental
Windows XP Service Pack 3
Yahoo! Install Manager
Yahoo! Toolbar
Yahoo! Toolbar avec bloqueur de fenêtres pop-up



Le volume dans le lecteur C s'appelle Windows xp
Le numéro de série du volume est CCD5-645B

Répertoire de C:\Program Files

13/09/2008 14:05 <REP>