Malwarebytes Anti-Malwares (MBAM)

par **Malekal_morte** » 15 nov. 2007 19:16

Malwarebytes Anti-Malware (MBAM) est un antimalware qui vise donc toute sorte d'infection.
Pour les différences entre les anti-malwares et antivirus suivre ce lien : Les différences entre les antivirus et les antimalwares.
De même, si vous utilisez AdwCleaner, vous pouvez aussi vous demander quelles sont les différences et ce qu'apporte MBAM.
L'article suivant explique tout cela : AdwCleaner et Malwarebytes: les différences

Malwarebytes Anti-Malware se positionne sur sa force de désinfection et nettoyer de son PC, là où les antivirus ont du mal à supprimer certaines infections.
Par exemple, MBAM est aussi effiace pour supprimer les pubs issues d'adwares : Comment supprimer les publicités liées à des adwares.

Pour cela, il propose une version gratuite qui permet de désinfecter et nettoyer son PC.
La version payante (Premium) embarque une protection en temps réel et une protection WEB.

Actuellement MBAM en est à sa version 3.
L'interface utilisateur est très simple (bien que pour le moment, seule la langue anglaise soit supportée).

Vous trouverez sur le site un tutoriel complet pour vous guider dans l'installation et l'utilisation de la version gratuite : Tutorel Malwarebytes Anti-Malware version gratuite

Video d'utilisation :

Enfin, l'éditeur Malwarebytes propose aussi un autre produit qui permet de se protéger contre les Web Exploit : Malwarebytes Anti-Exploit

Acheter la version payante de Malwarebytes Anti-Malware :

Malwarebytes Version 1

Pour rappel Malwarebytes développe entre autre les outils RogueRemover et FileAssassin

Un petit essai sur l'infection Virus Protect montre que le programme n'a aucune difficulté pour la supprimer.

Un autre essai sur une infection plus importante BraveSentry qui installe divers rootkits, trojans et backdoor.
Malwarebytes Anti-Malware détecte la majorité des fichiers composant l'infection. Bien qu'il ait laissé quelques rootkits, une mise à jour de la définition virale par les auteurs du programme devrait corriger le problème, cette infection étant mise à jour régulièrement.

La suppression des fichiers ne pose pas de soucis.

Exemple du rapport généré

Malwarebytes' Anti-Malware Version 0.72
Database version: 201
This logfile was saved after the removal process completed.

Scan type: Full Scan (C:\|)
Objects scanned: 15453

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 4
Registry Values Infected: 4
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 44

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
c:\documents and settings\all users\documents\settings\bot.dll (Trojan.Proxy) -> Unloaded module successfully.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brave-Sentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Brave-Sentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\BraveSentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg (Trojan.Proxy) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Brave-Sentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows update loader (Trojan.Fakealert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Service Pack 1 (Heuristics.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Program Files\BraveSentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Brave-Sentry (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.

Files Infected:
C:\Program Files\BraveSentry\BraveSentry.exe (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry0.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry2.dll (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry3.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\Uninstall.exe (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kernelw.sys (Trojan.Tibs) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry.lic (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry0.bs (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Program Files\BraveSentry\BraveSentry1.bs (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Brave-Sentry\BraveSentry.lnk (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Brave-Sentry\Uninstall.lnk (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q5.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q6.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllh8jkd1q8.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\xpupdate.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Settings\bot.dll (Trojan.Proxy) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\max1d11643v.exe (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxg4am1et2.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxg6ame4.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxga1me4t1.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxga3me2.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxga4m1et4.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxga4me1.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vedxga5me3.exe (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kernelwind32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\ma11x1dd12111v.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\ma1x1dd1v.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\vx1dt1.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\vx1dt3.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\vx3dt2.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v3xd1.g22me (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v4xd3.ga2me (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v5xd2.g3ame (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v5xd4.ga2me (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v6xdt4.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Local Settings\Temp\v4xd6.gam5e (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Malekal_morte\Desktop\BraveSentry.lnk (Rogue.Brave.Sentry) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\symavc32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Un programme qui a un bel avenir si les définitions virales suivent lors de sa sortie.
Reste à savoir si une version française sera disponible et les termes d'utilisation (version gratuite ou seulement payante etc..) ?

EDIT : Version française disponible.
Le programme finit premier d'un test parmis 9 autres logiciels de désinfections, voir la page : Test d'éradication : 10 logiciels de sécurité sur le grill

~~

Trois captures de la version payante qui débloque en autre le module de protection.
Cela permet aussi de paramétrer un scan périodique.

Blocage d'un site malicieux.
Les blocages se font sur les IP.

Blocage du lancement d'un fichier malveillant.

Malwarebytes Version 2

Quelques captures d'écran récentes de la version 2 de Malwarebytes qui est devenu incontournables.

Malwarebytes_analyse_ordinateur.png

Malwarebytes_analyse_ordinateur_suppression.png

Malwarebytes_parametres_generaux.png

par **Malekal_morte** » 07 déc. 2007 00:18

Les versions continuent de s'enchainer :

Version 0.76 Beta (December 1st, 2007)

1. (FIXED) Moved some settings around.
2. (FIXED) Installer does not register context menu, first run does.
3. (ADDED) "Open logfile location" to start menu shortcuts.
4. (ADDED) Digital signature to uninstaller.
5. (ADDED) SharedDLLs key to registry scan.
6. (ADDED) ModuleUsage key to registry scan.
7. (ADDED) Monitor uninstallation code to uninstaller.

J'ai hate de voir ce que ça va donner quand la version finale sortira!

Diamond · par **Diamond** » 07 déc. 2007 00:37

Se prétend-il supprimer "tous" les malwares, ou a-t-il une liste, une catégorie définie ?

par **Malekal_morte** » 07 déc. 2007 00:39

Anti-malwares donc toutes catégories confondues

Diamond · par **Diamond** » 07 déc. 2007 00:40

Wow ok ! Il devrait être vraiment très efficace alors s'il respecte ce qu'il s'est donné comme objectifs !

par **Malekal_morte** » 02 janv. 2008 13:38

Je viens de finir un tutorial : https://www.malekal.com/malwarebyte-ant ... les-virus/

Je vais attendre la version finale pour le publier sur le site!

The_Punisher · par **The_Punisher** » 03 janv. 2008 15:02

Merci beaucoup

par **Malekal_morte** » 05 janv. 2008 13:41

The day has arrived. Malwarebytes' Anti-Malware has just been released publicly
and is available on our website. Granted, there are some minor bugs to fix, and
the monitor is not yet incorporated, but the Malwarebytes team has declare the
program capable of being released to the public. I appreciate everybody's help
beta testing this product.

Malwarebyte's Anti-Malwares en version finale.

Florian671 · par **Florian671** » 05 janv. 2008 16:54

Et d'après toi vaut-il prendre cet Antyspyware ou garder mon Spybot ?

par **Malekal_morte** » 05 janv. 2008 16:57

SpyBot a le teatimer même si......
La version Free de Malwarebytes Anti-Malwares n'a pas de gardien en temps réel.
Je n'ai pu donc tester le gardien, néanmoins, je pense qu'il lui est supérieur.

géto21 · par **géto21** » 08 janv. 2008 11:17

Bonjour,

Malwarebytes en version publique 0.88 free compatible avec Windows 2000, NT, XP, Vista, est donc à considérer comme un outil grand public qui aidera à la désinfection d'un ordinateur sans avoir à télécharger une multitude d'applications spécifiques à chaque malware ; cela peut être très intéressant en fonction de son efficacité réelle ou en pré-nettoyage avant une ultime vérification sur le forum !

L'adresse de téléchargement : http://www.malwarebytes.org/mbam.php

Diamond · par **Diamond** » 09 janv. 2008 20:12

Et après tests sur le terrain de la désinfection il donne quoi le MAM ?

Diamond · par **Diamond** » 18 janv. 2008 19:55

Bonjour,

j'ai effectué un petit test rapide de cet AntiMalware, avec la version 0.90, en installant divers malwares du web.
Inutile de préciser que ça a été fait sans antivirus sous un Windows XP pas à jour du tout (il a bien quatre année de retard celui-là

)

Voici tout d'abord les notes que j'ai prises concernant ce que j'ai installé

Code : Tout sélectionner

Installation de :
-Bravesentry
-DriveCleaner
-VirusProtect
-IE Defender
-UltimateDefender
-WinAntivirusPro
-MyWebSearch
-Messengerskinner
-Mailskinner
-InternetGameBox
-quelques infections msn pas récentes

Surf sur des pages douteuses
Ouverture d'une prétendue vidéo de Paris Hilton depuis astalavista.com, qui est un .exe de 10 Mo, contenant : une vidéo avi pour duper l'utilisateur avide de porno, qui s'ouvre normalement, et s'avère être bien parishilton et quelques fichiers qui se droppent dans le système à l'ouverture (enfin je crois ^^). A chaque ouverture, le trojan est réinjecté, car la vidéo est mise en fichier temporaire, il faut donc exécuter l'exe en permanence. Son but est d'être transmise au plus grand nombre : "eh regarde, j'ai paris hilton en vidéo". D'accord la personne passera un bon moment ^^ , mais son ordinateur sera ensuite infecté.
téléchargement de billard depuis play89.fr
téléchargement du casino depuis 888.Com

Voici ensuite un petit log Hijackthis après tout cela :

Code : Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:32, on 13/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DriveCleaner Free\UDC.exe
C:\Program Files\DriveCleaner Free\udc6cw.exe
C:\Program Files\Fichiers communs\DriveCleaner Free\dnse.exe
C:\Program Files\Fichiers communs\DriveCleaner Free\dcsm.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VirusProtectPro 3.7\VirusProtectPro 3.7.exe
C:\Program Files\BraveSentry\BraveSentry.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\MessengerSkinner\MessengerSkinner.exe
C:\Program Files\IE Defender\iedefender.exe
C:\Program Files\Ultimate Defender\UltimateDefender.exe
C:\WINDOWS\LBTWiz.exe
c:\scanner\scanner.exe
c:\i2n4r9g1l2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.munky.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DriveCleaner Free] C:\Program Files\DriveCleaner Free\UDC.exe /min
O4 - HKLM\..\Run: [udc6cw] "C:\Program Files\DriveCleaner Free\udc6cw.exe" -c
O4 - HKLM\..\Run: [dnse] "C:\Program Files\Fichiers communs\DriveCleaner Free\dnse.exe" -c
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\DriveCleaner Free\dcsm.exe"
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [VirusProtectPro 3.7] "C:\Program Files\VirusProtectPro 3.7\VirusProtectPro 3.7.exe" /h
O4 - HKLM\..\Run: [Ultimate Defender] "C:\Program Files\Ultimate Defender\UltimateDefender.exe" hide
O4 - HKLM\..\Run: [LBTWiz.exe] C:\WINDOWS\LBTWiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZWYYYYYYYYFR
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/MyWebSearchInitialSetup1.0.0.15-3.cab
O21 - SSODL: rdihost - {5576C063-B343-4F47-9B9C-0EB24C94DC8C} - rdihost.dll (file missing)

--
End of file - 3661 bytes

Je vous laisse le plaisir de le lire, c'est simple, il n'y pratiquement rien de légitime

Un petit DiagHelp pour la forme :

Code : Tout sélectionner

DiagHelp version  - https://www.malekal.com
excute le 13/01/2008 à 17:50:16,23 
 
 
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch 
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/01/2008 17:50:14
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->13/01/2008 17:50:10
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->13/01/2008 17:49:41
C:\WINDOWS\prefetch\SCANNER.EXE-016FE919.pf -->13/01/2008 17:49:39
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/01/2008 17:49:38
C:\WINDOWS\prefetch\I2N4R9G1L2.EXE-1F4BF603.pf -->13/01/2008 17:49:34
C:\WINDOWS\prefetch\ANTIVMW.EXE-0AA175E3.pf -->13/01/2008 17:49:15
C:\WINDOWS\prefetch\MSN.COM-1EA87B0F.pf -->13/01/2008 17:48:48
C:\WINDOWS\prefetch\LBTWIZ.EXE-0E0A0A13.pf -->13/01/2008 17:48:48
C:\WINDOWS\prefetch\DRWTSN32.EXE-2B4B52AC.pf -->13/01/2008 17:48:48

C:\WINDOWS\System32\drivers\ws2ifsl.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\wmilib.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\wanarp.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\volsnap.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\videoprt.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\vga.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\vdmindvd.sys -->30/08/2002 13:00:00

C:\WINDOWS\System32\tftp.exe -->13/01/2008 17:48:39
C:\WINDOWS\System32\sfc_os.dll -->13/01/2008 17:48:39
C:\WINDOWS\System32\ftp.exe -->13/01/2008 17:48:39
C:\WINDOWS\System32\rdihost.dll -->13/01/2008 17:48:09
C:\WINDOWS\System32\wpa.dbl -->13/01/2008 17:13:42
C:\WINDOWS\System32\qctkylyeov.exe -->13/01/2008 17:11:14
C:\WINDOWS\System32\nvs2.inf -->13/01/2008 16:48:32
C:\WINDOWS\System32\f3PSSavr.scr -->13/01/2008 16:47:03
C:\WINDOWS\System32\PerfStringBackup.INI -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfh00C.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfh009.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfc00C.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfc009.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\wmpscheme.xml -->13/01/2008 16:26:57
C:\WINDOWS\System32\FNTCACHE.DAT -->13/01/2008 16:24:25
C:\WINDOWS\System32\$winnt$.inf -->13/01/2008 16:23:43
C:\WINDOWS\System32\CONFIG.NT -->13/01/2008 16:20:03
C:\WINDOWS\System32\nscompat.tlb -->13/01/2008 16:20:00
C:\WINDOWS\System32\amcompat.tlb -->13/01/2008 16:20:00
C:\WINDOWS\System32\WindowsLogon.manifest -->13/01/2008 16:18:55
C:\WINDOWS\System32\logonui.exe.manifest -->13/01/2008 16:18:55
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\sapi.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\nwc.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\ncpa.cpl.manifest -->13/01/2008 16:18:50

C:\WINDOWS\Nokia_19_jpg.zip -->13/01/2008 17:48:38
C:\WINDOWS\photo album.zip -->13/01/2008 17:48:28
C:\WINDOWS\.protected -->13/01/2008 17:25:56
C:\WINDOWS\setuplog.txt -->13/01/2008 17:13:54
C:\WINDOWS\0.log -->13/01/2008 17:10:54
C:\WINDOWS\bootstat.dat -->13/01/2008 17:10:33
C:\WINDOWS\setupapi.log -->13/01/2008 17:07:32
C:\WINDOWS\SchedLgU.Txt -->13/01/2008 16:28:52
C:\WINDOWS\OEWABLog.txt -->13/01/2008 16:26:58
C:\WINDOWS\nsw.log -->13/01/2008 16:26:12
C:\WINDOWS\REGLOCS.OLD -->13/01/2008 16:24:33
C:\WINDOWS\tsoc.log -->13/01/2008 16:23:45
C:\WINDOWS\ntdtcsetup.log -->13/01/2008 16:23:45
C:\WINDOWS\imsins.log -->13/01/2008 16:23:45
C:\WINDOWS\iis6.log -->13/01/2008 16:23:45

winlogon.exe  
	Verified:	Signed
svchost.exe  
	Verified:	Signed
ws2_32.dll  
	Verified:	Signed
user32.dll  
	Verified:	Signed
tcpip.sys  
	Verified:	Signed
ndis.sys  
	Verified:	Signed
null.sys  
	Verified:	Signed
 

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1468
Command line: C:\WINDOWS\Explorer.EXE

  Base        Size      Version	        Path
  0x01000000  0xf9000   6.00.2800.1106  C:\WINDOWS\Explorer.EXE
  0x77be0000  0x53000   7.00.2600.1106  C:\WINDOWS\system32\msvcrt.dll
  0x77290000  0x64000   6.00.2800.1106  C:\WINDOWS\system32\SHLWAPI.dll
  0x77390000  0x805000  6.00.2800.1106  C:\WINDOWS\system32\SHELL32.dll
  0x770e0000  0x8b000   3.50.5016.0000  C:\WINDOWS\system32\OLEAUT32.dll
  0x75f10000  0xfc000   6.00.2800.1106  C:\WINDOWS\System32\BROWSEUI.dll
  0x76960000  0x14a000  6.00.2800.1106  C:\WINDOWS\System32\SHDOCVW.dll
  0x5b090000  0x34000   6.00.2800.1106  C:\WINDOWS\System32\UxTheme.dll
  0x78090000  0xe4000   6.00.2800.1106  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
  0x77300000  0x8b000   5.82.2800.1106  C:\WINDOWS\system32\comctl32.dll
  0x76f80000  0x78000   2001.12.4414.0042  C:\WINDOWS\System32\CLBCATQ.DLL
  0x77000000  0xd4000   2001.12.4414.0042  C:\WINDOWS\System32\COMRes.dll
  0x5b950000  0x72000   6.00.2800.1106  C:\WINDOWS\System32\themeui.dll
  0x76ac0000  0x15000   3.00.9435.0000  C:\WINDOWS\System32\ATL.DLL
  0x76080000  0x7a000   6.00.2800.1106  C:\WINDOWS\system32\urlmon.dll
  0x10000000  0xa000    1.02.0003.0002  C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoestb.dll
  0x74aa0000  0x43000   6.00.2800.1106  C:\WINDOWS\System32\webcheck.dll
  0x74a60000  0x9000    6.00.2600.0000  C:\WINDOWS\System32\BatMeter.dll
  0x74a40000  0x7000    6.00.2600.0000  C:\WINDOWS\System32\POWRPROF.dll
  0x76190000  0x99000   6.00.2800.1106  C:\WINDOWS\system32\wininet.dll
  0x76250000  0x8d000   5.131.2600.1106  C:\WINDOWS\system32\CRYPT32.dll
  0x017b0000  0x35000   1.00.0001.0006  C:\Program Files\MailSkinner\OLSkinner.dll
  0x5f140000  0x1a000   5.00.5014.0000  C:\WINDOWS\System32\OLEPRO32.DLL
  0x74bf0000  0x2c000   4.02.5406.0000  C:\WINDOWS\System32\OLEACC.DLL
  0x76010000  0x61000   6.00.8972.0000  C:\WINDOWS\System32\MSVCP60.dll
  0x016c0000  0x64000   1.00.0000.0007  C:\Program Files\MessengerSkinner\MessengerSkinnerDll.dll
  0x76340000  0x46000   6.00.2800.1106  C:\WINDOWS\system32\comdlg32.dll
  0x76100000  0x8e000   6.00.2600.0000  C:\WINDOWS\System32\shdoclc.dll
  0x723a0000  0x13000   6.00.2800.1106  C:\WINDOWS\System32\browselc.dll
  0x72380000  0x19000   6.00.2600.0000  C:\WINDOWS\System32\mydocs.dll
  0x732d0000  0x52000   6.00.2800.1106  C:\WINDOWS\System32\zipfldr.dll
  0x71ca0000  0x1b000   6.00.2600.0000  C:\WINDOWS\System32\actxprxy.dll
  0x1f7b0000  0x31000   3.520.9030.0000  C:\WINDOWS\System32\ODBC32.dll
  0x1f850000  0x18000   3.520.7713.0000  C:\WINDOWS\System32\odbcint.dll
  0x00c50000  0x7000    1.00.0000.0000  C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
  0x76be0000  0x2b000   5.131.2600.0000  C:\WINDOWS\System32\WINTRUST.dll
  0x02c50000  0x8000                    C:\WINDOWS\System32\rdihost.dll
  0x746e0000  0x8f000   6.00.2600.0000  C:\WINDOWS\System32\MLANG.dll
  0x00ba0000  0xe000    1.00.0002.0005  C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
  0x013f0000  0x5e000   2.02.0060.0011  C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
  0x5ce30000  0x69000   6.00.2800.1106  C:\WINDOWS\System32\shimgvw.dll
  0x78190000  0x1a1000  5.01.3101.0000  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\gdiplus.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 560
Command line: winlogon.exe

  Base        Size      Version	        Path
  0x01000000  0x84000                   \??\C:\WINDOWS\system32\winlogon.exe
  0x77be0000  0x53000   7.00.2600.1106  C:\WINDOWS\system32\msvcrt.dll
  0x76250000  0x8d000   5.131.2600.1106  C:\WINDOWS\system32\CRYPT32.dll
  0x77390000  0x805000  6.00.2800.1106  C:\WINDOWS\system32\SHELL32.dll
  0x77290000  0x64000   6.00.2800.1106  C:\WINDOWS\system32\SHLWAPI.dll
  0x77300000  0x8b000   5.82.2800.1106  C:\WINDOWS\system32\COMCTL32.dll
  0x1f7b0000  0x31000   3.520.9030.0000  C:\WINDOWS\System32\ODBC32.dll
  0x76340000  0x46000   6.00.2800.1106  C:\WINDOWS\system32\comdlg32.dll
  0x78090000  0xe4000   6.00.2800.1106  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
  0x1f850000  0x18000   3.520.7713.0000  C:\WINDOWS\System32\odbcint.dll
  0x76b70000  0x20000   6.00.2800.1106  C:\WINDOWS\System32\SHSVCS.dll
  0x76be0000  0x2b000   5.131.2600.0000  C:\WINDOWS\System32\WINTRUST.dll
  0x5b090000  0x34000   6.00.2800.1106  C:\WINDOWS\System32\uxtheme.dll
  0x76ac0000  0x15000   3.00.9435.0000  C:\WINDOWS\System32\ATL.DLL
  0x770e0000  0x8b000   3.50.5016.0000  C:\WINDOWS\system32\OLEAUT32.dll
  0x77000000  0xd4000   2001.12.4414.0042  C:\WINDOWS\System32\COMRes.dll
  0x76f80000  0x78000   2001.12.4414.0042  C:\WINDOWS\System32\CLBCATQ.DLL
 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\temp

13/01/2008  16:53           235 468 NSIS_Install_igb.exe
13/01/2008  16:49           960 200 NSIS_install_msgskinner.exe
13/01/2008  16:48           360 606 NSIS_setup.exe
               3 fichier(s)        1 556 274 octets
               0 Rép(s)   8 963 751 936 octets libres
 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\system32

30/08/2002  13:00             4 096 csrss.exe
               1 fichier(s)            4 096 octets
               0 Rép(s)   8 963 751 936 octets libres
 
Contenu de Downloaded Program Files 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\Downloaded Program Files

13/01/2008  17:07    <REP>          .
13/01/2008  17:07    <REP>          ..
13/01/2008  16:18                65 desktop.ini
14/10/1997  18:52               697 DirectAnimation Java Classes.osd
14/07/2005  16:28               365 f3initialsetup1.0.0.15-3.inf
20/11/2007  16:04         1 523 536 FP_AX_CAB_INSTALLER.exe
20/01/2000  15:25             1 162 Microsoft XML Parser for Java.osd
20/11/2007  15:50               247 swflash.inf
11/08/2004  02:22             2 399 wmsp9dmo.inf
11/08/2004  02:22             3 036 wmv9dmo.inf
               8 fichier(s)        1 531 507 octets

     Total des fichiers listés :
               8 fichier(s)        1 531 507 octets
               2 Rép(s)   8 963 751 936 octets libres
 
Recherche de rootkit! (Merci S!Ri) 
[b]infection possible Magic.Control[/b] : un scan F-Secure BlackLight est recommandé 
 
Recherche d'infections connues 

Export des clefs sensibles.. 
 
  
Liste des fichiers en exception sur le pare-feu XP SP2 
 
Export de la clef SharedTaskScheduler 

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 
 
exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles.. 
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 17:52:46
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"oopqqrrstt"="c:\documents and settings\diamond\local settings\application data\oopqqrrstt.exe oopqqrrstt"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4     -           System  
536   -        csrss.exe  
560   -     winlogon.exe  
604   -     services.exe  
616   -        lsass.exe  
788   -      svchost.exe  
888   -      svchost.exe  
984   -      svchost.exe  
1468  -     explorer.exe  
1552  -          UDC.exe  
1604  -         dcsm.exe  
1620  -     MWSOEMON.EXE  
1656  -       ctfmon.exe  
1672  -  BraveSentry.exe  
1696  -   oopqqrrstt.exe  
1744  -  MessengerSkinne  
1876  -          alg.exe  
1992  -          cmd.exe  
5200  -       LBTWiz.exe  
5528  -  UltimateDefende  

Total number of processes = 20
NOTE: Under WinXP, this will not show all processes.
 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D4000 - \WINDOWS\system32\ntoskrnl.exe
806C8000 - \WINDOWS\system32\hal.dll
F9F4C000 - \WINDOWS\system32\KDCOM.DLL
F9E5C000 - \WINDOWS\system32\BOOTVID.dll
F99FF000 - ACPI.sys
F9F4E000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F9A4C000 - pci.sys
F9A5C000 - isapnp.sys
F9E60000 - compbatt.sys
F9E64000 - \WINDOWS\System32\DRIVERS\BATTC.SYS
F9F50000 - intelide.sys
F9CCC000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F9A6C000 - MountMgr.sys
F99E0000 - ftdisk.sys
F9CD4000 - PartMgr.sys
F9A7C000 - VolSnap.sys
F99CA000 - atapi.sys
F9A8C000 - disk.sys
F9A9C000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F99B9000 - sr.sys
F99A5000 - KSecDD.sys
F991B000 - Ntfs.sys
F98F2000 - NDIS.sys
F98D8000 - Mup.sys
F9ACC000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F9D04000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F9D0C000 - \SystemRoot\System32\DRIVERS\fdc.sys
F9D14000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F9ADC000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F9AEC000 - \SystemRoot\System32\DRIVERS\pcntpci5.sys
F9EE4000 - \SystemRoot\System32\DRIVERS\CmBatt.sys
FA098000 - \SystemRoot\System32\DRIVERS\audstub.sys
F9AFC000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F9EE8000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F9863000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F9B0C000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F9B1C000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F9EEC000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F9852000 - \SystemRoot\System32\DRIVERS\psched.sys
F9B2C000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F9D1C000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F9D24000 - \SystemRoot\System32\DRIVERS\raspti.sys
F9B3C000 - \SystemRoot\System32\DRIVERS\termdd.sys
FA0B9000 - \SystemRoot\System32\DRIVERS\swenum.sys
F97FE000 - \SystemRoot\System32\DRIVERS\ks.sys
F97DC000 - \SystemRoot\System32\DRIVERS\update.sys
F9B4C000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9D2C000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F9F5E000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
FA0C5000 - \SystemRoot\System32\Drivers\Null.SYS
F9F60000 - \SystemRoot\System32\Drivers\Beep.SYS
F9D3C000 - \SystemRoot\System32\drivers\vga.sys
F97A2000 - \SystemRoot\System32\drivers\VIDEOPRT.SYS
F9F62000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9F64000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9D44000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9D4C000 - \SystemRoot\System32\Drivers\Npfs.SYS
F9F14000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F9B6C000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F9730000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F9709000 - \SystemRoot\System32\DRIVERS\netbt.sys
F9B7C000 - \SystemRoot\System32\DRIVERS\netbios.sys
F96E1000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F967D000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F9BAC000 - \SystemRoot\System32\Drivers\Fips.SYS
F9BBC000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F9BCC000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F95C7000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9F66000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F9F44000 - \SystemRoot\System32\watchdog.sys
F9F48000 - \SystemRoot\System32\drivers\Dxapi.sys
BFF80000 - \SystemRoot\System32\drivers\dxg.sys
FA129000 - \SystemRoot\System32\drivers\dxgthk.sys
BFF70000 - \SystemRoot\System32\framebuf.dll
F9266000 - \SystemRoot\System32\drivers\afd.sys
F937F000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F8F43000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F8E02000 - \SystemRoot\System32\DRIVERS\srv.sys
F8CAE000 - \SystemRoot\System32\DRIVERS\ipnat.sys
FA02C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 81

Liste des programmes installes

Adobe Flash Player ActiveX 
Brave-Sentry 
Carlson Dialer 
Casino-On-Net 
DriveCleaner Free 1.0.91.0 
HijackThis 2.0.2 
IE Defender 
InternetGameBox  
MailSkinner 
Malwarebytes' Anti-Malware 
MessengerSkinner 
My Web Search 
Play89 
Ultimate Defender 
VirusProtectPro 3.7 
WebFldrs XP 


 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files

13/01/2008  17:24    <REP>          .
13/01/2008  17:24    <REP>          ..
13/01/2008  16:46    <REP>          BraveSentry
13/01/2008  17:24    <REP>          CasinoOnNet
13/01/2008  16:16    <REP>          ComPlus Applications
13/01/2008  16:46    <REP>          DriveCleaner Free
13/01/2008  17:49    <REP>          Fichiers communs
13/01/2008  17:10    <REP>          FunWebProducts
13/01/2008  16:57    <REP>          IE Defender
13/01/2008  16:47    <REP>          Internet Explorer
13/01/2008  16:53    <REP>          InternetGameBox
13/01/2008  16:48    <REP>          MailSkinner
13/01/2008  16:39    <REP>          Malwarebytes' Anti-Malware
13/01/2008  16:16    <REP>          Messenger
13/01/2008  16:52    <REP>          MessengerSkinner
13/01/2008  16:20    <REP>          microsoft frontpage
13/01/2008  16:18    <REP>          Movie Maker
13/01/2008  16:16    <REP>          MSN
13/01/2008  16:16    <REP>          MSN Gaming Zone
13/01/2008  16:47    <REP>          MyWebSearch
13/01/2008  16:17    <REP>          NetMeeting
13/01/2008  16:17    <REP>          Outlook Express
13/01/2008  17:16    <REP>          Play89
13/01/2008  16:18    <REP>          Services en ligne
13/01/2008  17:25    <REP>          Ultimate Defender
13/01/2008  17:00    <REP>          VirusProtectPro 3.7
13/01/2008  16:26    <REP>          Windows Media Player
13/01/2008  16:16    <REP>          Windows NT
13/01/2008  16:20    <REP>          xerox
               0 fichier(s)                0 octets
              29 Rép(s)   8 962 666 496 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files\fichiers communs

13/01/2008  17:49    <REP>          .
13/01/2008  17:49    <REP>          ..
13/01/2008  16:46    <REP>          DriveCleaner Free
13/01/2008  16:26    <REP>          Microsoft Shared
13/01/2008  16:17    <REP>          MSSoap
13/01/2008  16:12    <REP>          ODBC
13/01/2008  16:17    <REP>          Services
13/01/2008  16:12    <REP>          SpeechEngines
13/01/2008  16:17    <REP>          System
               0 fichier(s)                0 octets
               9 Rép(s)   8 962 666 496 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

13/01/2008  16:26    <REP>          .
13/01/2008  16:26    <REP>          ..
18/05/2001  17:57           561 209 MSONSEXT.DLL
03/06/1999  14:09           122 937 MSOWS409.DLL
07/03/2001  09:00           127 033 MSOWS40c.DLL
               3 fichier(s)          811 179 octets
               2 Rép(s)   8 962 666 496 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\

13/01/2008  17:49            45 631 i2n4r9g1l2.exe
               1 fichier(s)           45 631 octets
               0 Rép(s)   8 962 666 496 octets libres
 
 
 
 
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Diamond\Local Settings\Application Data\oopqqrrstt.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\casinonet.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\paris_high.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\UDC6V_0001_D19M1009\installer.exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\0P234TI7\ParisHilton[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\InstallPlay89[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\WinAntiVirusPro2007FreeInstall_fr[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\KLABOPER\UDefender_Installer[1].exe

Voir le rapport MAM
(le rapport est en PJ parce que trop de caractères ^^)

Le rapport est clair, tout est trié par dossier.
On remarquera après suppression que les fichiers suivants n'ont pas pu être supprimés :

C:\Program Files\MailSkinner\OLSkinner.dll
C:\Program Files\MessengerSkinner\MessengerSkinnerDll.dll
et par extension les dossiers contenant les dll.

MAM affiche juste avant un message "Failed to delete. (Delete on reboot)." et propose de redémarrer. La suppression s'effectue sans encombre après redémarrage. On aurait cependant aimé une preuve que la suppression s'est bien passée...

Après un nouveau DiagHelp,

Code : Tout sélectionner

DiagHelp version  - https://www.malekal.com
excute le 13/01/2008 à 18:22:01,48 
 
 
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch 
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/01/2008 18:22:00
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/01/2008 18:21:48
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->13/01/2008 18:21:35
C:\WINDOWS\prefetch\SCANNER.EXE-016FE919.pf -->13/01/2008 18:21:33
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->13/01/2008 18:21:29
C:\WINDOWS\prefetch\SVCHOST.EXE-3530F672.pf -->13/01/2008 18:18:01
C:\WINDOWS\prefetch\MSPAINT.EXE-11CBB631.pf -->13/01/2008 18:18:01
C:\WINDOWS\prefetch\REGEDIT.EXE-1B606482.pf -->13/01/2008 18:16:28
C:\WINDOWS\prefetch\TASKMGR.EXE-20256C55.pf -->13/01/2008 18:02:44
C:\WINDOWS\prefetch\MSN.EXE-05A8919F.pf -->13/01/2008 17:57:08

C:\WINDOWS\System32\drivers\ws2ifsl.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\wmilib.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\wanarp.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\volsnap.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\videoprt.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\vga.sys -->30/08/2002 13:00:00
C:\WINDOWS\System32\drivers\vdmindvd.sys -->30/08/2002 13:00:00

C:\WINDOWS\System32\tftp.exe -->13/01/2008 18:20:10
C:\WINDOWS\System32\ftp.exe -->13/01/2008 18:20:10
C:\WINDOWS\System32\FNTCACHE.DAT -->13/01/2008 18:20:01
C:\WINDOWS\System32\sfc_os.dll -->13/01/2008 17:48:39
C:\WINDOWS\System32\rdihost.dll -->13/01/2008 17:48:09
C:\WINDOWS\System32\wpa.dbl -->13/01/2008 17:13:42
C:\WINDOWS\System32\qctkylyeov.exe -->13/01/2008 17:11:14
C:\WINDOWS\System32\PerfStringBackup.INI -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfh00C.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfh009.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfc00C.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\perfc009.dat -->13/01/2008 16:27:13
C:\WINDOWS\System32\wmpscheme.xml -->13/01/2008 16:26:57
C:\WINDOWS\System32\$winnt$.inf -->13/01/2008 16:23:43
C:\WINDOWS\System32\CONFIG.NT -->13/01/2008 16:20:03
C:\WINDOWS\System32\nscompat.tlb -->13/01/2008 16:20:00
C:\WINDOWS\System32\amcompat.tlb -->13/01/2008 16:20:00
C:\WINDOWS\System32\WindowsLogon.manifest -->13/01/2008 16:18:55
C:\WINDOWS\System32\logonui.exe.manifest -->13/01/2008 16:18:55
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\sapi.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\nwc.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\ncpa.cpl.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\cdplayer.exe.manifest -->13/01/2008 16:18:50
C:\WINDOWS\System32\emptyregdb.dat -->13/01/2008 16:16:55

C:\WINDOWS\0.log -->13/01/2008 18:20:20
C:\WINDOWS\Nokia_19_jpg.zip -->13/01/2008 18:20:10
C:\WINDOWS\bootstat.dat -->13/01/2008 18:20:03
C:\WINDOWS\SchedLgU.Txt -->13/01/2008 18:19:34
C:\WINDOWS\wiadebug.log -->13/01/2008 18:19:30
C:\WINDOWS\wiaservc.log -->13/01/2008 18:17:53
C:\WINDOWS\setuplog.txt -->13/01/2008 17:13:54
C:\WINDOWS\setupapi.log -->13/01/2008 17:07:32
C:\WINDOWS\OEWABLog.txt -->13/01/2008 16:26:58
C:\WINDOWS\nsw.log -->13/01/2008 16:26:12
C:\WINDOWS\REGLOCS.OLD -->13/01/2008 16:24:33
C:\WINDOWS\tsoc.log -->13/01/2008 16:23:45
C:\WINDOWS\ntdtcsetup.log -->13/01/2008 16:23:45
C:\WINDOWS\imsins.log -->13/01/2008 16:23:45
C:\WINDOWS\iis6.log -->13/01/2008 16:23:45

winlogon.exe  
	Verified:	Signed
svchost.exe  
	Verified:	Signed
ws2_32.dll  
	Verified:	Signed
user32.dll  
	Verified:	Signed
tcpip.sys  
	Verified:	Signed
ndis.sys  
	Verified:	Signed
null.sys  
	Verified:	Signed
 

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1452
Command line: C:\WINDOWS\Explorer.EXE

  Base        Size      Version	        Path
  0x01000000  0xf9000   6.00.2800.1106  C:\WINDOWS\Explorer.EXE
  0x77be0000  0x53000   7.00.2600.1106  C:\WINDOWS\system32\msvcrt.dll
  0x77290000  0x64000   6.00.2800.1106  C:\WINDOWS\system32\SHLWAPI.dll
  0x77390000  0x805000  6.00.2800.1106  C:\WINDOWS\system32\SHELL32.dll
  0x770e0000  0x8b000   3.50.5016.0000  C:\WINDOWS\system32\OLEAUT32.dll
  0x75f10000  0xfc000   6.00.2800.1106  C:\WINDOWS\System32\BROWSEUI.dll
  0x76960000  0x14a000  6.00.2800.1106  C:\WINDOWS\System32\SHDOCVW.dll
  0x5b090000  0x34000   6.00.2800.1106  C:\WINDOWS\System32\UxTheme.dll
  0x78090000  0xe4000   6.00.2800.1106  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
  0x77300000  0x8b000   5.82.2800.1106  C:\WINDOWS\system32\comctl32.dll
  0x76f80000  0x78000   2001.12.4414.0042  C:\WINDOWS\System32\CLBCATQ.DLL
  0x77000000  0xd4000   2001.12.4414.0042  C:\WINDOWS\System32\COMRes.dll
  0x5b950000  0x72000   6.00.2800.1106  C:\WINDOWS\System32\themeui.dll
  0x71ca0000  0x1b000   6.00.2600.0000  C:\WINDOWS\System32\actxprxy.dll
  0x76ac0000  0x15000   3.00.9435.0000  C:\WINDOWS\System32\ATL.DLL
  0x76080000  0x7a000   6.00.2800.1106  C:\WINDOWS\system32\urlmon.dll
  0x74aa0000  0x43000   6.00.2800.1106  C:\WINDOWS\System32\webcheck.dll
  0x74a60000  0x9000    6.00.2600.0000  C:\WINDOWS\System32\BatMeter.dll
  0x74a40000  0x7000    6.00.2600.0000  C:\WINDOWS\System32\POWRPROF.dll
  0x10000000  0x8000                    C:\WINDOWS\System32\rdihost.dll
  0x76190000  0x99000   6.00.2800.1106  C:\WINDOWS\system32\WININET.dll
  0x76250000  0x8d000   5.131.2600.1106  C:\WINDOWS\system32\CRYPT32.dll
  0x72380000  0x19000   6.00.2600.0000  C:\WINDOWS\System32\mydocs.dll
  0x746e0000  0x8f000   6.00.2600.0000  C:\WINDOWS\System32\MLANG.dll
  0x723a0000  0x13000   6.00.2800.1106  C:\WINDOWS\System32\browselc.dll
  0x76be0000  0x2b000   5.131.2600.0000  C:\WINDOWS\System32\WINTRUST.dll
  0x5ce30000  0x69000   6.00.2800.1106  C:\WINDOWS\System32\shimgvw.dll
  0x78190000  0x1a1000  5.01.3101.0000  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\gdiplus.dll
  0x76100000  0x8e000   6.00.2600.0000  C:\WINDOWS\System32\shdoclc.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 560
Command line: winlogon.exe

  Base        Size      Version	        Path
  0x01000000  0x84000                   \??\C:\WINDOWS\system32\winlogon.exe
  0x77be0000  0x53000   7.00.2600.1106  C:\WINDOWS\system32\msvcrt.dll
  0x76250000  0x8d000   5.131.2600.1106  C:\WINDOWS\system32\CRYPT32.dll
  0x77390000  0x805000  6.00.2800.1106  C:\WINDOWS\system32\SHELL32.dll
  0x77290000  0x64000   6.00.2800.1106  C:\WINDOWS\system32\SHLWAPI.dll
  0x77300000  0x8b000   5.82.2800.1106  C:\WINDOWS\system32\COMCTL32.dll
  0x1f7b0000  0x31000   3.520.9030.0000  C:\WINDOWS\System32\ODBC32.dll
  0x76340000  0x46000   6.00.2800.1106  C:\WINDOWS\system32\comdlg32.dll
  0x78090000  0xe4000   6.00.2800.1106  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
  0x1f850000  0x18000   3.520.7713.0000  C:\WINDOWS\System32\odbcint.dll
  0x76b70000  0x20000   6.00.2800.1106  C:\WINDOWS\System32\SHSVCS.dll
  0x76be0000  0x2b000   5.131.2600.0000  C:\WINDOWS\System32\WINTRUST.dll
  0x5b090000  0x34000   6.00.2800.1106  C:\WINDOWS\System32\uxtheme.dll
  0x76ac0000  0x15000   3.00.9435.0000  C:\WINDOWS\System32\ATL.DLL
  0x770e0000  0x8b000   3.50.5016.0000  C:\WINDOWS\system32\OLEAUT32.dll
  0x77000000  0xd4000   2001.12.4414.0042  C:\WINDOWS\System32\COMRes.dll
  0x76f80000  0x78000   2001.12.4414.0042  C:\WINDOWS\System32\CLBCATQ.DLL
 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\temp

13/01/2008  16:53           235 468 NSIS_Install_igb.exe
13/01/2008  16:49           960 200 NSIS_install_msgskinner.exe
13/01/2008  16:48           360 606 NSIS_setup.exe
               3 fichier(s)        1 556 274 octets
               0 Rép(s)   8 942 579 712 octets libres
 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\system32

30/08/2002  13:00             4 096 csrss.exe
               1 fichier(s)            4 096 octets
               0 Rép(s)   8 942 579 712 octets libres
 
Contenu de Downloaded Program Files 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\WINDOWS\Downloaded Program Files

13/01/2008  17:07    <REP>          .
13/01/2008  17:07    <REP>          ..
13/01/2008  16:18                65 desktop.ini
14/10/1997  18:52               697 DirectAnimation Java Classes.osd
14/07/2005  16:28               365 f3initialsetup1.0.0.15-3.inf
20/11/2007  16:04         1 523 536 FP_AX_CAB_INSTALLER.exe
20/01/2000  15:25             1 162 Microsoft XML Parser for Java.osd
20/11/2007  15:50               247 swflash.inf
11/08/2004  02:22             2 399 wmsp9dmo.inf
11/08/2004  02:22             3 036 wmv9dmo.inf
               8 fichier(s)        1 531 507 octets

     Total des fichiers listés :
               8 fichier(s)        1 531 507 octets
               2 Rép(s)   8 942 579 712 octets libres
 
Recherche de rootkit! (Merci S!Ri) 
 
Recherche d'infections connues 

Export des clefs sensibles.. 
 
  
Liste des fichiers en exception sur le pare-feu XP SP2 
 
Export de la clef SharedTaskScheduler 

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 
 
exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles.. 
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 18:24:19
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"oopqqrrstt"="c:\documents and settings\diamond\local settings\application data\oopqqrrstt.exe oopqqrrstt"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4     -           System  
300   -          cmd.exe  
536   -        csrss.exe  
560   -     winlogon.exe  
604   -     services.exe  
616   -        lsass.exe  
780   -      svchost.exe  
792   -      wpabaln.exe  
880   -      svchost.exe  
956   -      svchost.exe  
984   -      svchost.exe  
1452  -     explorer.exe  
1536  -       LBTWiz.exe  
1544  -       ctfmon.exe  
1552  -   oopqqrrstt.exe  
1808  -          alg.exe  

Total number of processes = 16
NOTE: Under WinXP, this will not show all processes.
 
KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D4000 - \WINDOWS\system32\ntoskrnl.exe
806C8000 - \WINDOWS\system32\hal.dll
F9F4C000 - \WINDOWS\system32\KDCOM.DLL
F9E5C000 - \WINDOWS\system32\BOOTVID.dll
F99FF000 - ACPI.sys
F9F4E000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F9A4C000 - pci.sys
F9A5C000 - isapnp.sys
F9E60000 - compbatt.sys
F9E64000 - \WINDOWS\System32\DRIVERS\BATTC.SYS
F9F50000 - intelide.sys
F9CCC000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F9A6C000 - MountMgr.sys
F99E0000 - ftdisk.sys
F9CD4000 - PartMgr.sys
F9A7C000 - VolSnap.sys
F99CA000 - atapi.sys
F9A8C000 - disk.sys
F9A9C000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F99B9000 - sr.sys
F99A5000 - KSecDD.sys
F991B000 - Ntfs.sys
F98F2000 - NDIS.sys
F98D8000 - Mup.sys
F9ABC000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F9CFC000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F9D04000 - \SystemRoot\System32\DRIVERS\fdc.sys
F9D0C000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F9ACC000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F9ADC000 - \SystemRoot\System32\DRIVERS\pcntpci5.sys
F9EE0000 - \SystemRoot\System32\DRIVERS\CmBatt.sys
FA13A000 - \SystemRoot\System32\DRIVERS\audstub.sys
F9AEC000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F9EE4000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F9863000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F9AFC000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F9B0C000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F9EE8000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F9852000 - \SystemRoot\System32\DRIVERS\psched.sys
F9B1C000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F9D14000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F9D1C000 - \SystemRoot\System32\DRIVERS\raspti.sys
F9B2C000 - \SystemRoot\System32\DRIVERS\termdd.sys
FA16A000 - \SystemRoot\System32\DRIVERS\swenum.sys
F9831000 - \SystemRoot\System32\DRIVERS\ks.sys
F980F000 - \SystemRoot\System32\DRIVERS\update.sys
F9B3C000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F9D24000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F9F5A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
FA176000 - \SystemRoot\System32\Drivers\Null.SYS
F9F5C000 - \SystemRoot\System32\Drivers\Beep.SYS
F9D34000 - \SystemRoot\System32\drivers\vga.sys
F97D5000 - \SystemRoot\System32\drivers\VIDEOPRT.SYS
F9F5E000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9F60000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9D3C000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9D44000 - \SystemRoot\System32\Drivers\Npfs.SYS
F9F10000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F9B5C000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F9763000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F973C000 - \SystemRoot\System32\DRIVERS\netbt.sys
F9B6C000 - \SystemRoot\System32\DRIVERS\netbios.sys
F9714000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F96B0000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F9B9C000 - \SystemRoot\System32\Drivers\Fips.SYS
F9BAC000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F9BCC000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F95FA000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9F64000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F9F3C000 - \SystemRoot\System32\watchdog.sys
F9F40000 - \SystemRoot\System32\drivers\Dxapi.sys
BFF80000 - \SystemRoot\System32\drivers\dxg.sys
FA041000 - \SystemRoot\System32\drivers\dxgthk.sys
BFF70000 - \SystemRoot\System32\framebuf.dll
F9299000 - \SystemRoot\System32\drivers\afd.sys
F93BA000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F8F26000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F8E85000 - \SystemRoot\System32\DRIVERS\srv.sys
F8D59000 - \SystemRoot\System32\DRIVERS\ipnat.sys
FA14E000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 81

Liste des programmes installes

Adobe Flash Player ActiveX 
Casino-On-Net 
DriveCleaner Free 1.0.91.0 
HijackThis 2.0.2 
Malwarebytes' Anti-Malware 
Play89 
WebFldrs XP 


 
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files

13/01/2008  18:20    <REP>          .
13/01/2008  18:20    <REP>          ..
13/01/2008  17:24    <REP>          CasinoOnNet
13/01/2008  16:16    <REP>          ComPlus Applications
13/01/2008  18:17    <REP>          Fichiers communs
13/01/2008  18:17    <REP>          Internet Explorer
13/01/2008  16:39    <REP>          Malwarebytes' Anti-Malware
13/01/2008  16:16    <REP>          Messenger
13/01/2008  16:20    <REP>          microsoft frontpage
13/01/2008  16:18    <REP>          Movie Maker
13/01/2008  16:16    <REP>          MSN
13/01/2008  16:16    <REP>          MSN Gaming Zone
13/01/2008  16:17    <REP>          NetMeeting
13/01/2008  16:17    <REP>          Outlook Express
13/01/2008  17:16    <REP>          Play89
13/01/2008  16:18    <REP>          Services en ligne
13/01/2008  16:26    <REP>          Windows Media Player
13/01/2008  16:16    <REP>          Windows NT
13/01/2008  16:20    <REP>          xerox
               0 fichier(s)                0 octets
              19 Rép(s)   8 941 543 424 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files\fichiers communs

13/01/2008  18:17    <REP>          .
13/01/2008  18:17    <REP>          ..
13/01/2008  16:26    <REP>          Microsoft Shared
13/01/2008  16:17    <REP>          MSSoap
13/01/2008  16:12    <REP>          ODBC
13/01/2008  16:17    <REP>          Services
13/01/2008  16:12    <REP>          SpeechEngines
13/01/2008  16:17    <REP>          System
               0 fichier(s)                0 octets
               8 Rép(s)   8 941 543 424 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

13/01/2008  16:26    <REP>          .
13/01/2008  16:26    <REP>          ..
18/05/2001  17:57           561 209 MSONSEXT.DLL
03/06/1999  14:09           122 937 MSOWS409.DLL
07/03/2001  09:00           127 033 MSOWS40c.DLL
               3 fichier(s)          811 179 octets
               2 Rép(s)   8 941 543 424 octets libres
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 7C4A-DE16

 Répertoire de C:\

13/01/2008  17:49            45 631 i2n4r9g1l2.exe
               1 fichier(s)           45 631 octets
               0 Rép(s)   8 941 543 424 octets libres
 
 
 
 
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Diamond\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Diamond\Bureau\héhé\antivmw.exe
c:\Documents and Settings\Diamond\Local Settings\Application Data\oopqqrrstt.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\casinonet.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\paris_high.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\UDC6V_0001_D19M1009\installer.exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\0P234TI7\ParisHilton[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\InstallPlay89[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\WinAntiVirusPro2007FreeInstall_fr[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\KLABOPER\UDefender_Installer[1].exe
 
****** Fin du rapport DiagHelp 
Veuillez svp envoyer le fichier C:\upload_moi_DIAMONDZ.tar.gz a l'adresse http://upload.malekal.com

on constate les fichiers suivants encore présents :

c:\Documents and Settings\Diamond\Local Settings\Application Data\oopqqrrstt.exe et sa clé de démarrage associée
c:\Documents and Settings\Diamond\Local Settings\Temp\casinonet.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\paris_high.exe
c:\Documents and Settings\Diamond\Local Settings\Temp\UDC6V_0001_D19M1009\installer.exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\0P234TI7\ParisHilton[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\InstallPlay89[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\ILWVS101\WinAntiVirusPro2007FreeInstall_fr[1].exe
c:\Documents and Settings\Diamond\Local Settings\Temporary Internet Files\Content.IE5\KLABOPER\UDefender_Installer[1].exe
C:\WINDOWS\LBTWiz.exe
C:\WINDOWS\Nokia_19_jpg.zip
C:\WINDOWS\system32\rdihost.dll
C:\WINDOWS\System32\qctkylyeov.exe
C:\i2n4r9g1l2.exe

DriveCleaner est laissé dans les programmes installés, mais a pourtant été supprimé. Il reste cependant tous les fichiers contenus dans le dossier de démarrage, et du menu démarrer, des rogues, l'utilisateur trouvera alors tout ça, bien que les raccourcis ne mènent nulle part.
Il est dommage de voir que ces fichiers restent présents. L'utilisateur est toujours infecté par magic.control et un ver MSN. Des traces se trouvent un peu partout encore présentes. De plus magic.control est une infection assez "vieille", donc ne pas la supprimer totalement encore maintenant est un des points négatifs de ce petit test.

Le Hijackthis a bien diminué, mais laisse voir les traces mises en valeur ci-dessus :

Code : Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:42, on 13/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LBTWiz.exe
C:\WINDOWS\System32\ctfmon.exe
c:\scanner\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.munky.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LBTWiz.exe] C:\WINDOWS\LBTWiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZWYYYYYYYYFR
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: rdihost - {5576C063-B343-4F47-9B9C-0EB24C94DC8C} - rdihost.dll (file missing)

--
End of file - 1447 bytes

Voilà, c'est la fin de ce test, en conclusion, on peut dire que MalwareBytes Anti-Malware a encore des progrès à faire, et l'on pourrait se demander s'il va pouvoir s'adapter aux menaces à venir dans le futur. En effet, les quelques vices de suppression peuvent nous faire douter de tout cela.
L'interface est assez agréable, le temps de scan ne prend pas trop temps, à noter cependant qu'il utilise toute la mémoire CPU, donc il est conseillé de tout arrêter pendant le scan. La suppression est rapide, le rapport clair.
Heureusement, il n'en est qu'à ses débuts, à suivre donc...

NB : Si certains fichiers t'intéressent, malekal, je les ai gardés.

Topxm · par **Topxm** » 19 janv. 2008 02:07

Salut,

Pour ceux qui n'oseraient pas télécharger le Rapport qu'a fait Diamond

! je met le début car ça vaut son "pesant de cacahuettes" !

Malwarebytes' Anti-Malware Version 0.90
Version de la base de données: 245

Type de recherche: Examen complet (C:\| )
Eléments examinés: 26292
Temps écoulé: 17 minute(s), 51 second(s)

Processus mémoire infecté(s): 11
Module(s) mémoire infecté(s): 9
Clé(s) du Registre infectée(s): 189
Valeur(s) du Registre infectée(s): 15
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 45
Fichier(s) infecté(s): 283

géto21 · par **géto21** » 19 janv. 2008 14:40

Bonjour,

Je viens d'examiner ton test, et le rapport MAM, d'abord merci de l'avoir fait, il est très instructif ; tu n'y es pas allé de main morte ...!
Leur as-tu envoyé ton test ? l'adresse email : [email protected] je pense que leur réponse serait un bon complément de ton essai.

Malekal.com forum

Malwarebytes Anti-Malwares (MBAM)

Malwarebytes Anti-Malwares (MBAM)

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebyte's Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM) en béta

Re: Malwarebytes Anti-Malwares (MAM)

Re: Malwarebytes Anti-Malwares (MAM)

Test de MAM, le voilà justement

Re: Malwarebytes Anti-Malwares (MAM)

Re: Malwarebytes Anti-Malwares (MAM)