Downloader.Gen

Funfair -  
 Funfair -
Bonsoir à tous !

J'était déjà venu demander de l'aide sur ce forum et je sais à quel point l'aide est de qualité. Des experts sont dans la salle ^^ lol ! Je me souviens, c'est G!rly qui m'avait gentiment aidé à virer un spyware un peu coriace.

Bref, me revoila avec un nouveau virus... malheureusement. Tout à l'heure en surfant (et pas sur des sites sensibles !), en arrivant sur une page de JMaxHardware (site pourtant clean!) j'ai soudain eu une alerte d'Antivir me signalant le fichier nvaux32.dll comme un virus. Le virus détecté est "TR/Downloader.Gen".

Sur le coup, je fait refuser l'accès. Puis, je lance un scan avec Spybot. Celui-ci ne peut tout simplement pas effectuer une analyse d'une seule traite car il bloque toute les 2 secondes en ouvrant une alerte Antivir qui me resignale nvaux32.dll (si je fait "refuser l'accès", ça reprend pendant 2sec puis ça le refait). J'interrompt l'analyse Spybot et celui-ci me signale tout de même un Trojan : "Win32.Agent.icb"
Je fait Corriger les problèmes mais vous pensez bien qu'il est toujours là...

Ensuite, j'ai lancer un scan avec Antivir, et là, ce fut la cerise lol ! Il m'a détecté au moins 4 virus et ça a fini en faisant buguer tout l'ordi (yavé plus aucun texte nulle part lol). Dans un dernier élan d'espoir, j'ai fait un reset et ça a redémarrer normalement (ouf !). Mais les saletés sont toujours détectées. Au secours ! lol

Voici mon rapport HiJackThis (effectué en mode sans echec) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21:44, on 29/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\windows\explorer.exe
D:\Mes logiciels\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS4\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 7267 bytes

Voila voila ! En espérant que vous pourrez m'aider :) Merci !
Configuration: Windows XP
Internet Explorer 7.0

51 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une détection de malware survient sur Windows XP lors de la navigation, avec le fichier nvaux32.dll signalé comme TR/Downloader.Gen et plusieurs alertes antivirus, accompagnées de plantages lors des analyses. Le rapport HiJackThis révèle de nombreuses entrées au démarrage et des modules de navigateur potentiellement malveillants, compliquant le nettoyage par les antivirus et les outils classiques. Une réponse suggère l'usage de la restauration système via rstrui.exe et l'examen de points de restauration, tout en notant l'absence d'un CD Windows propre et la présence d'une partition de récupération. Pour aller plus loin, des éléments utiles évoquent l'éventualité d'une réinstallation et d'une vérification des paramètres réseau, notamment les serveurs DNS, qui peuvent rester compromis même après le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonsoir,

    Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Double-clique sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

    Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  2. Funfair
     
    Merci pour ta réponse rapide !

    Voici le rapport info.txt :

    info.txt logfile of random's system information tool 1.05 2008-12-29 23:34:56

    ======Uninstall list======

    -->"C:\Program Files\Creative Installation Information\CREATIVE_MEDIASOURCE_U\Setup.exe" /remove /nolog/l0x040c
    -->"C:\Program Files\Creative Installation Information\CTCMSGO\Setup.exe" /remove /l0x040c
    -->"C:\Program Files\Creative Installation Information\E-CENTER_NET_CONTENT_U\Setup.exe" /remove /l0x040c
    -->"C:\Program Files\Creative Installation Information\E-CENTER_PLUGIN_CDBURNER_U\Setup.exe" /remove /l0x040c
    -->"C:\Program Files\Creative Installation Information\E-CENTER_PLUGIN_MINIDISC_U\Setup.exe" /remove /nolog/l0x040c
    -->"C:\Program Files\Creative Installation Information\E-CENTER_PLUGIN_ONLINESTORE_U\Setup.exe" /remove /l0x040c
    -->"C:\Program Files\Creative Installation Information\MEDIASOURCE_PLAYER_SKINPACK_U\Setup.exe" /remove /nolog/l0x040c
    -->"C:\Program Files\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:FRN
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C88C3C27-AECE-4137-A6CC-D7A6FFAD2F84}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C88C3C27-AECE-4137-A6CC-D7A6FFAD2F84}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x40c /remove
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    3DMark05-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2DF7B278-D3B6-40A4-B25C-0E7149F439EA}\setup.exe" -l0x9 -removeonly
    3DMark06-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F3AD00A-1819-4B15-BB7D-08B3586336D7}\setup.exe" -l0x9 -removeonly
    802.11g Wireless Client Utility-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{95425168-3DA0-4D25-88BD-EE04D18A0FD1}\setup.exe" -l0x9 -removeonly
    Acer eDataSecurity Management 2.0.3077-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{4AD13F68-CADA-4C6B-9759-C33753F89908} /l1036
    Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDStbmngr.exe UNINSTALL 1
    Acer Empowering Technology-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly
    Acer ePerformance Management-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7057702F-6D71-4F30-8000-9E72BC771887}\setup.exe" -l0x40c -removeonly
    Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
    Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
    Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}
    Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
    Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
    Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
    Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
    Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
    Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
    Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
    Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
    Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
    Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
    Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
    Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
    Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
    Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
    Adobe Flash CS3 Professional-->C:\Program Files\Fichiers communs\Adobe\Installers\b2b4b1546e74314f8131ded43e4bd9d\Setup.exe
    Adobe Flash CS3-->MsiExec.exe /I{80FD3971-8482-49C8-BA8C-B6464A15882F}
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 9 Plugin-->MsiExec.exe /X{88D422DB-E9C7-4E16-9D80-2999F4FD6AD9}
    Adobe Flash Video Encoder-->MsiExec.exe /I{1B0BCA28-1F11-4D60-8A2F-DEBE04B5341E}
    Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
    Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
    Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
    Adobe Illustrator CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\a04a925a57548091300ada368235fc6\Setup.exe
    Adobe Illustrator CS3-->MsiExec.exe /I{F08E8D2E-F132-4742-9C87-D5FF223A016A}
    Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
    Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
    Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
    Adobe Reader 7.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
    Adobe Setup-->MsiExec.exe /I{4F3E17F8-F1C8-4A4B-9EB8-1EE2D190CDA9}
    Adobe Setup-->MsiExec.exe /I{82503EA7-7E08-4AA8-90E9-BE4D0A6D453F}
    Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
    Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
    Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
    Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
    Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
    Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
    Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
    Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
    Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Assistant de connexion Windows Live-->MsiExec.exe /I{D6E592B3-67DA-4BBB-9783-E1838FB253A2}
    ATI - Software Uninstall Utility-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
    ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
    ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
    Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
    Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
    commercial-->MsiExec.exe /I{38C65D12-79E3-49C0-B211-DE3BE0A7AB39}
    Correctif n° 2 pour Windows XP Édition Media Center 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
    Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
    Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    Creative Audio Console-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x40c /remove
    Creative MediaSource 5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}\SETUP.EXE" -l0x40c /remove
    Creative Software AutoUpdate-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x40c /remove
    Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
    e-Carte Bleue La Banque Postale-->"C:\Program Files\InstallShield Installation Information\{11B0F8D4-FD80-4800-ABA8-50D28FF769AF}\setup.exe" -runfromtemp -l0x040c -removeonly
    Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
    FEAR Extraction Point-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{909BBDB7-BABE-434C-9124-863A9F8D1CF8}\setup.exe" -l0x40c -removeonly
    FEAR-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2B653229-9854-4989-B780-D978F5F13EAB}\setup.exe" -l0x40c /zU -removeonly
    FileZilla Client 3.0.7.1-->C:\Program Files\FileZilla Client\uninstall.exe
    GemMaster Mystic-->"C:\Program Files\GemMasterFrench\uninstallgemmaster.exe"
    Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
    Hamachi 1.0.1.3-->C:\Program Files\Hamachi\uninstall.exe
    High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
    HijackThis 2.0.2-->"D:\Mes logiciels\HiJackThis\HijackThis.exe" /uninstall
    Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
    Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{3CCB732A-E472-4CF9-B1EE-F18365341FE0}
    J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
    Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
    Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
    Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
    Les Sims™ 2 Jour de fête ! Kit -->C:\Program Files\EA GAMES\Les Sims 2 Jour de fête ! Kit \EAUninstall.exe
    Les Sims™ 2 Quartier Libre-->C:\Program Files\EA GAMES\Les Sims 2 Quartier Libre\EAUninstall.exe
    LiveUpdate 3.0 (Symantec Corporation)-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
    LiveUpdate Notice (Symantec Corporation)-->MsiExec.exe /X{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}
    Micro Application - CV et Lettres de motivation-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Micro Application\CV et Lettres de motivation\Uninst.isu"
    Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
    Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
    Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Microsoft Office 2000 Standard-->MsiExec.exe /I{0002040C-78E1-11D2-B60F-006097C998E7}
    Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Mise à jour de sécurité pour le Codeur Windows Media (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB913433)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB913433.inf
    Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mise à jour pour Lecteur Windows Media 10 (KB910393)-->"C:\WINDOWS\$NtUninstallKB910393$\spuninst\spuninst.exe"
    Mise à jour pour Lecteur Windows Media 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
    Mise à jour pour Lecteur Windows Media 10 (KB926251)-->"C:\WINDOWS\$NtUninstallKB926251$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    Nero 7 Ultra Edition-->MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
    Notepad++-->C:\Program Files\Notepad++\uninstall.exe
    NTI Backup NOW! 4-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{385979FE-DC4F-4140-8EAD-A59625000D72} /l1036 BUN4
    NTI CD & DVD-Maker-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
    OCA Client history tool install-->"C:\WINDOWS\$UninstallOCA-X86Fre-ENU$\spuninst\spuninst.exe"
    Otto-->"C:\Program Files\FrenchOtto\uninstallotto.exe"
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Pack Crystal Clear 1.0-->C:\WINDOWS\BricoPacks\Crystal Clear\Remove.exe
    Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C7A451815AD6A55564D6F47B5A12C61D8B4DCFD1\amdk8.inf
    Package de pilotes Windows - AMD System (04/06/2006 1.0.1.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdaway_6BBB63755B7B133065E435E51557E416289081C4\amdaway.inf
    PCMark05-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5C104E56-A441-429D-A609-D8A46EB92EA1}\setup.exe" -l0x9 -removeonly
    PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
    PeerGuardian 2.0-->"C:\Program Files\PeerGuardian2\unins000.exe"
    PowerDVD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
    PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
    QT Lite 2.5.1-->"C:\Program Files\QT Lite\unins000.exe"
    RCT3 Soaked-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA926717-CE5A-4CB4-AB21-9E6E9565A458}\Setup.exe" -l0x40c
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.exe" -l0x40c -removeonly
    RivaTuner v2.07-->"C:\Program Files\RivaTuner v2.07\uninstall.exe"
    RollerCoaster Tycoon® 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x40c
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
    Sonic Encoders-->MsiExec.exe /I{9941F0AA-B903-4AF4-A055-83A9815CC011}
    Sony Ericsson Themes Creator 3.19-->C:\Program Files\Sony Ericsson\Themes Creator\Uninstall.exe
    Sound Blaster X-Fi Xtreme Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{822A8730-86A7-4CAA-BDE1-7337169BFF2B}\SETUP.EXE" -l0x40c /remove
    SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    TmNationsForever-->"C:\Program Files\TmNationsForever\unins000.exe"
    URS 2.0 SE Top Spin No.1 2.0-->C:\Program Files\eWs\URS 2.0 SE Top Spin No.1\Uninstall.exe
    URS Space Taxi Sim 1.0-->C:\Program Files\eWs\URS Space Taxi Sim\Uninstall.exe
    Video mp3 Extractor-->"C:\Program Files\Video mp3 Extractor\unins000.exe"
    Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
    Vtune 4.6-->"C:\Program Files\Vtune\unins000.exe"
    Windows Live Call-->MsiExec.exe /I{01523985-2098-43AF-9C97-12B07BE02A9B}
    Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
    Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
    Windows Media Encoder 9 Series-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
    Windows Media Encoder 9 Series-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
    Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
    Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
    Windows XP Media Center Edition 2005 KB908246-->"C:\WINDOWS\$NtUninstallKB908246$\spuninst\spuninst.exe"
    Windows XP Media Center Edition 2005 KB925766-->"C:\WINDOWS\$NtUninstallKB925766$\spuninst\spuninst.exe"
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
    World of Warcraft FREE Trial-->MsiExec.exe /X{02EBDBB9-4600-41D3-B566-40CB861511D2}
    Worms World Party-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A200E68-D5F4-4E70-910F-2871753A0E2B}\setup.exe"

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AV: Avira AntiVir PersonalEdition Classic

    System event log

    Computer Name: KÉVIN
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service LiveUpdate.

    Record Number: 10000
    Source Name: Service Control Manager
    Time Written: 20081206221910.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: KÉVIN
    Event Code: 7036
    Message: Le service Norton Protection Center Service est entré dans l'état : en cours d'exécution.

    Record Number: 9999
    Source Name: Service Control Manager
    Time Written: 20081206221646.000000+060
    Event Type: Informations
    User:

    Computer Name: KÉVIN
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service Norton Protection Center Service.

    Record Number: 9998
    Source Name: Service Control Manager
    Time Written: 20081206221646.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: KÉVIN
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service PCASp50 NDIS Protocol Driver.

    Record Number: 9997
    Source Name: Service Control Manager
    Time Written: 20081206221600.000000+060
    Event Type: Informations
    User: KÉVIN\CKévin

    Computer Name: KÉVIN
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service int15.sys.

    Record Number: 9996
    Source Name: Service Control Manager
    Time Written: 20081206221547.000000+060
    Event Type: Informations
    User: KÉVIN\CKévin

    Application event log

    Computer Name: KÉVIN
    Event Code: 101
    Message: Niveau d'information : success

    LiveUpdate automatique a terminé.

    Record Number: 17001
    Source Name: Automatic LiveUpdate Scheduler
    Time Written: 20081124214010.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: KÉVIN
    Event Code: 101
    Message: Niveau d'information : success

    Le Planificateur a lancé LiveUpdate automatique.

    Record Number: 17000
    Source Name: Automatic LiveUpdate Scheduler
    Time Written: 20081124213926.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: KÉVIN
    Event Code: 0
    Message: La commande du service a été traitée avec succès.

    Record Number: 16999
    Source Name: AcerMemUsageCheckService
    Time Written: 20081124213707.000000+060
    Event Type: Informations
    User:

    Computer Name: KÉVIN
    Event Code: 0
    Message: La commande du service a été traitée avec succès.

    Record Number: 16998
    Source Name: AcerMemUsageCheckService
    Time Written: 20081124213707.000000+060
    Event Type: Informations
    User:

    Computer Name: KÉVIN
    Event Code: 35
    Message:
    Record Number: 16997
    Source Name: NSCService
    Time Written: 20081124213617.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD
    "PROCESSOR_REVISION"=4b02
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  3. Funfair
     
    Et voici le rapport log.txt :

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by CKévin at 2008-12-29 23:34:43
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 53 GB (45%) free of 116 GB
    Total RAM: 2047 MB (78% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:34:53, on 29/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\windows\explorer.exe
    C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\SysMonitor.exe
    C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
    C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Documents and Settings\CKévin\Bureau\RSIT.exe
    D:\Mes logiciels\HiJackThis\CKévin.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=c:\windows\explorer.exe
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    O4 - HKLM\..\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A
    O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKLM\..\Policies\Explorer\Run: []
    O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
    O4 - S-1-5-18 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
    O4 - .DEFAULT Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Acer Empowering Technology.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS3\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS4\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Une première remarque. Tu as deux antivirus antivir et Symantec.
    Lequel comptes-tu garder ?

    Autre chose. Tu as passé Antivir.
    As-tu sauvegardé le dernier rapport d'Antivir .
    Si oui, peux-tu me poster le dernier rapport ?

    Tu vas utiliser SDFix téléchargeable à :
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Tu installes le logiciel.
    Tu peux t’aider du tuto suivant :
    https://www.malekal.com/slenfbot-still-an-other-irc-bot/

    Il faut que tu redémarres en mode sans échec.
    Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.

    Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.

    Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
    L'outil va continuer à travailler, c'est normal.

    Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
    Ton bureau devrait réapparaitre.

    Ouvre le dossier de SDFix sur ton Bureau.
    Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    Avec un nouveau rapportRSIT!

    A+

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Funfair
     
    Je souhaite garder Antivir. Symantec (Norton), c'est un peu spécial car il se trouve sur une partion (cachée) de sauvegarde que je ne peut effacer (pc constructeur)

    Voici le rapport de SDFix :

    [b]SDFix: Version 1.240 [/b]
    Run by CK‚vin on 30/12/2008 at 02:39

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    [b]Infected user32.dll Found![/b]

    user32.dll File Locations:

    "C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll" 578048 02/03/2005 19:20
    "C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll" 579072 08/03/2007 16:50
    "C:\WINDOWS\$NtServicePackUninstall$\user32.dll" 578560 08/03/2007 16:37
    "C:\WINDOWS\$NtUninstallKB890859$\user32.dll" 578048 10/08/2004 21:00
    "C:\WINDOWS\$NtUninstallKB925902$\user32.dll" 578048 02/03/2005 19:10
    "C:\WINDOWS\ServicePackFiles\i386\user32.dll" 579584 14/04/2008 03:33
    "C:\WINDOWS\system32\user32.DLL" 579584 29/12/2008 17:25
    "C:\WINDOWS\system32\dllcache\user32.dll" 579584 29/12/2008 17:49

    [C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll] C34920EB988CE98910BD6B0417F334EB
    [C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll] 4D88AAF39ADABFE45958EA1384E2C4FF
    [C:\WINDOWS\$NtServicePackUninstall$\user32.dll] 753354F594809A9B96F73999B435A533
    [C:\WINDOWS\$NtUninstallKB890859$\user32.dll] E46FB493E3B33704F0715020CF52106B
    [C:\WINDOWS\$NtUninstallKB925902$\user32.dll] 0DF75FB73F705B011630159A43D7C354
    [C:\WINDOWS\ServicePackFiles\i386\user32.dll] E853F84D3CE2FAA2A802E33CF89AC023
    [C:\WINDOWS\system32\user32.DLL] D32F342A38A315B903967F897E158C37
    [C:\WINDOWS\system32\dllcache\user32.dll] D32F342A38A315B903967F897E158C37

    [C:\WINDOWS\System32\fdxzio] E853F84D3CE2FAA2A802E33CF89AC023

    Note: SDFix does not repair this file!

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\WINDOWS\system32\drivers\atmapi.sys - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-30 04:05:57
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
    "s1"=dword:2df9c43f
    "s2"=dword:110480d0
    "h0"=dword:00000002

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:a3,73,f9,f7,bf,25,3d,c0,29,00,3e,bd,f7,4a,3d,49,be,97,06,b5,a0,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000001
    "khjeh"=hex:af,8f,14,25,77,ac,48,dc,91,14,36,35,a7,82,98,cf,e9,68,31,03,7a,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:a3,73,f9,f7,bf,25,3d,c0,29,00,3e,bd,f7,4a,3d,49,be,97,06,b5,a0,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000001
    "khjeh"=hex:af,8f,14,25,77,ac,48,dc,91,14,36,35,a7,82,98,cf,e9,68,31,03,7a,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:a3,73,f9,f7,bf,25,3d,c0,29,00,3e,bd,f7,4a,3d,49,be,97,06,b5,a0,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000001
    "khjeh"=hex:af,8f,14,25,77,ac,48,dc,91,14,36,35,a7,82,98,cf,e9,68,31,03,7a,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:a3,73,f9,f7,bf,25,3d,c0,29,00,3e,bd,f7,4a,3d,49,be,97,06,b5,a0,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000001
    "khjeh"=hex:af,8f,14,25,77,ac,48,dc,91,14,36,35,a7,82,98,cf,e9,68,31,03,7a,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:a3,73,f9,f7,bf,25,3d,c0,29,00,3e,bd,f7,4a,3d,49,be,97,06,b5,a0,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000001
    "khjeh"=hex:af,8f,14,25,77,ac,48,dc,91,14,36,35,a7,82,98,cf,e9,68,31,03,7a,..

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
    "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
    "C:\\Program Files\\Sierra\\FEAR\\FEAR.exe"="C:\\Program Files\\Sierra\\FEAR\\FEAR.exe:*:Enabled:FEAR"
    "C:\\Program Files\\Sierra\\FEAR\\FEARMP.exe"="C:\\Program Files\\Sierra\\FEAR\\FEARMP.exe:*:Enabled:FEAR"
    "C:\\Program Files\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"="C:\\Program Files\\Sierra\\FEAR\\FEARXP\\FEARXP.exe:*:Enabled:FEARXP"
    "C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\TmNationsForever\\TmForever.exe"="C:\\Program Files\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"
    "C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"="C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe:*:Enabled:Far Cry 2"
    "C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"="C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe:*:Enabled:Far Cry 2 Updater"
    "C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"="C:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe:*:Enabled:Editeur"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
    Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
    Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
    Wed 6 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\KCMDNIns.exe"
    Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
    Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
    Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
    Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
    Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
    Thu 7 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\reboot.exe"
    Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\system32\rescan.exe"
    Wed 28 May 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Tue 16 Dec 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Tue 16 Dec 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
    Sat 27 Dec 2008 1,301 ...HR --- "C:\Documents and Settings\CK‚vin\Application Data\SecuROM\UserData\securom_v7_01.bak"
    Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\CK‚vin\Application Data\U3\temp\Launchpad Removal.exe"

    [b]Finished![/b]

    Anoter que durant le scan se déroulant après le reboot, Antivir m'a signalé qu'un fichier mis par moi même bien avant (c'est pas un crack, c'est un fichiser qui ne contient aucun virus à la base) contenait le code malveillant 'HEUR/Malware' [heuristic]. Je l'ai déplacé en quarantaine.. Avant de faire le scan, j'ai aussi mis en quarantaine NIRCMD.exe qui d'après Antivir contenait le modèle de détection APPL/NirCmd.E.2.B
    0
  7. Funfair
     
    Après le signalement d'Antivir pour HEUR, et paprès avoir fait "mettre en quarantaine", la ligne éaccès refusé" est apparue dans la fenêtre bleue de SDFix et ça continuait. (J'ai maintenant supprimer purement et simplement le fichier en question)

    Et voici le nouveau rapport RSIT :

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by CKévin at 2008-12-30 11:05:28
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 55 GB (47%) free of 116 GB
    Total RAM: 2047 MB (86% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:05:39, on 30/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\CKévin\Bureau\RSIT.exe
    D:\Mes logiciels\HiJackThis\CKévin.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    O4 - HKLM\..\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A
    O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
    O4 - S-1-5-18 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
    O4 - .DEFAULT Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Acer Empowering Technology.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS3\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS4\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O17 - HKLM\System\CS5\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
    O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    As-tu le CD de XP ?
    Il va falloir remplacer le fichier user32.dll qui est infecté.

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    A+
    0
  9. Funfair
     
    Sauf que le problème, c'est que le pc (pc constructeur Acer, je le rappelle), je l'avais acheté sur eBay, et le mec m'a pas donner le cd de Windows avec (c'est XP Media Center)

    Donc la seule chose que je puisse faire, c'est faire une restauration complete du systême avec eRecovery, en gros... (avec la partition de sauvegarde) pffff...
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Non,

    Je t'avais répondu un peu précipitamment.
    On fera la récupération à partir de la console de récupération que tu installeras.

    Commence par malwarebytes.

    Le scan dure en moyenne 50 mn.

    A+
    0
  11. Funfair
     
    Le scan est en train de se dérouler. Ca fait 2h30 que ça tourne. Le problème, c'est qu'a chaque fois qu'il détecte quelque chose, ça met l'analyse en pause et c'est Antivir qui s'ouvre et qui me demande ce que je veut faire de la nouvelle trouvaille. L'analyse ne reprend que lorsque j'ai fait un choix (et le compteur du scan de Malwarebyte"s "Eléments infectés" reste à 0...).

    Le virus se propage-t-il ? Ce que je voudrai surtout savoir, c'est est-ce que ce virus peut se propager dans mon DD externe si je le branche pour faire des sauvegardes de mes dernies documents ?
    0
  12. Funfair
     
    J'ai oublié de dire, parmi les nouvelles trouvailles, Antivir m'a signaler TR/Dropper.Gen dans le fichier "aston.mt", un fichier du system32
    0
  13. Funfair
     
    L'analyse vient de se terminer.

    Il a trouver finalement 2 infections :

    -Trojan.Agent dans C:\WINDOWS\system32\nvaux32.dll
    -Trojan.FakeAlert dans C:\WINDOWS\system32\aston.mt

    On est bien d'accord, je fait "Supprimer la sélection".

    Voici le rapport :

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1579
    Windows 5.1.2600 Service Pack 3

    31/12/2008 00:13:56
    mbam-log-2008-12-31 (00-13-56).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 287881
    Temps écoulé: 2 hour(s), 59 minute(s), 59 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\nvaux32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\aston.mt (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Si je te comprends bien, lorsque tu as passé malwarebytes, Antivir te détectait éfalement ces virus
    Les-as tu supprimé avec Antivir , alors ?

    Pour les supports amovibles, on les vérifiera.
    Utilise ton DD externe pour sauvegarder tes docs si tu le veux.

    1) Pour le fichier user32.dll, j'ai besoin que tu analyses plusieurs fichiers.

    Tu vas sur le site de VirusTotal et tu vas pouvoir analyser ces fichiers.
    https://www.virustotal.com/gui/
    Copiez succesivement le chemin indiqué ci-dessous et le coller dans la zone à analyser.

    Chemin :

    C:\WINDOWS\system32\user32.DLL
    C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
    C:\WINDOWS\$NtServicePackUninstall$\user32.dll


    Tu cliques ensuite sur envoyer le fichier.
    Tu postes les rapports des analyses ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    2) Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    On va installer la console de récupération pour pouvoir utiliser ComBoFix.

    Choisis le lien suivant ta version de XP ( familiale ou professionnelle ) et télécharge le fichier correspondant sur ton bureau.

    Windows XP Édition familiale
    http://www.microsoft.com/downloads/details.aspx?FamilyId=15491F07-99F7-4A2D-983D-81C2137FF464&displaylang=fr
    Windows XP Professionnel
    http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=fr

    déconnecte toi du net.
    Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    Glisse/Dépose ce fichier sur l'icone de ComBoFix.
    Regarde le lien suivant si tu ne sais pas ce qu'est un Glisser/Déposer
    http://img.bleepingcomputer.com/combofix/usage/rc.gif

    Ceci va lancer combofix et installer la console de récupération.
    Accepte le contrat de licence.
    Tu devrais avoir un message de confirmation de la bonne installation de la console.
    Clique sur Oui pour continuer le scan.

    Poste le rapport que tu auras obtenu.
    Si tu ne le trouves pas, il est en C:\combofix.txt

    A+
    0
  15. Funfair
     
    Voici le rapport de VirusTotal pour C:\WINDOWS\user32.DLL

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.73 2009.01.01 -
    AhnLab-V3 2008.12.31.0 2009.01.01 Win-Trojan/User32Hk
    AntiVir 7.9.0.45 2008.12.31 -
    Authentium 5.1.0.4 2009.01.01 -
    Avast 4.8.1281.0 2009.01.01 Win32:SysPatch
    AVG 8.0.0.199 2008.12.31 -
    BitDefender 7.2 2009.01.01 -
    CAT-QuickHeal 10.00 2009.01.01 -
    ClamAV 0.94.1 2009.01.01 -
    Comodo 859 2009.01.01 -
    DrWeb 4.44.0.09170 2009.01.01 BackDoor.Zapinit
    eTrust-Vet 31.6.6286 2008.12.31 Win32/Pruserinf
    Ewido 4.0 2008.12.31 -
    F-Prot 4.4.4.56 2009.01.01 -
    F-Secure 8.0.14470.0 2009.01.01 Trojan.Win32.Patched.bb
    Fortinet 3.117.0.0 2009.01.01 -
    GData 19 2009.01.01 Win32:SysPatch
    Ikarus T3.1.1.45.0 2009.01.01 -
    K7AntiVirus 7.10.572 2008.12.31 Trojan.Win32.Patched.bb
    Kaspersky 7.0.0.125 2009.01.01 Trojan.Win32.Patched.bb
    McAfee 5480 2008.12.31 -
    McAfee+Artemis 5481 2009.01.01 potentially unwanted program Patched User32
    Microsoft 1.4205 2009.01.01 Virus:Win32/Mariofev.A
    NOD32 3729 2009.01.01 Win32/Pinit
    Norman 5.80.02 2009.01.01 -
    Panda 9.0.0.4 2009.01.01 W32/Patched.D
    PCTools 4.4.2.0 2009.01.01 -
    Prevx1 V2 2009.01.01 -
    Rising 21.10.22.00 2008.12.31 Trojan.Win32.Patched.bi
    SecureWeb-Gateway 6.7.6 2009.01.01 -
    Sophos 4.37.0 2009.01.01 Troj/User32Hk-A
    Sunbelt 3.2.1809.2 2008.12.22 -
    Symantec 10 2009.01.01 -
    TheHacker 6.3.1.4.202 2008.12.30 -
    TrendMicro 8.700.0.1004 2009.01.01 Possible_Patch-1
    VBA32 3.12.8.10 2009.01.01 -
    ViRobot 2008.12.30.1540 2008.12.31 -
    VirusBuster 4.5.11.0 2008.12.31 -
    0
  16. Funfair
     
    Voici le rapport pour C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
    Ca m'a dit que le fichier avait déjà été analysé. j'ai donc fait "Réanalyser"

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.73 2009.01.01 -
    AhnLab-V3 2008.12.31.0 2009.01.01 -
    AntiVir 7.9.0.45 2008.12.31 -
    Authentium 5.1.0.4 2009.01.01 -
    Avast 4.8.1281.0 2009.01.01 -
    AVG 8.0.0.199 2008.12.31 -
    BitDefender 7.2 2009.01.01 -
    CAT-QuickHeal 10.00 2009.01.01 -
    ClamAV 0.94.1 2009.01.01 -
    Comodo 859 2009.01.01 -
    DrWeb 4.44.0.09170 2009.01.01 -
    eTrust-Vet 31.6.6286 2008.12.31 -
    Ewido 4.0 2008.12.31 -
    F-Prot 4.4.4.56 2009.01.01 -
    F-Secure 8.0.14470.0 2009.01.01 -
    Fortinet 3.117.0.0 2009.01.01 -
    GData 19 2009.01.01 -
    Ikarus T3.1.1.45.0 2009.01.01 -
    K7AntiVirus 7.10.572 2008.12.31 -
    Kaspersky 7.0.0.125 2009.01.01 -
    McAfee 5480 2008.12.31 -
    McAfee+Artemis 5481 2009.01.01 -
    Microsoft 1.4205 2009.01.01 -
    NOD32 3729 2009.01.01 -
    Norman 5.80.02 2009.01.01 -
    Panda 9.0.0.4 2009.01.01 -
    PCTools 4.4.2.0 2009.01.01 -
    Prevx1 V2 2009.01.01 -
    Rising 21.10.22.00 2008.12.31 -
    SecureWeb-Gateway 6.7.6 2009.01.01 -
    Sophos 4.37.0 2009.01.01 -
    Sunbelt 3.2.1809.2 2008.12.22 -
    Symantec 10 2009.01.01 -
    TheHacker 6.3.1.4.202 2008.12.30 -
    TrendMicro 8.700.0.1004 2009.01.01 -
    VBA32 3.12.8.10 2009.01.01 -
    ViRobot 2008.12.30.1540 2008.12.31 -
    VirusBuster 4.5.11.0 2008.12.31 -
    0
  17. Funfair
     
    Voici le rapport pour C:\WINDOWS\$NtServicePackUninstall$\user32.dll
    J'ai encore fait "Réanalyser"

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.73 2009.01.01 -
    AhnLab-V3 2008.12.31.0 2009.01.01 -
    AntiVir 7.9.0.45 2008.12.31 -
    Authentium 5.1.0.4 2009.01.01 -
    Avast 4.8.1281.0 2009.01.01 -
    AVG 8.0.0.199 2008.12.31 -
    BitDefender 7.2 2009.01.01 -
    CAT-QuickHeal 10.00 2009.01.01 -
    ClamAV 0.94.1 2009.01.01 -
    Comodo 859 2009.01.01 -
    DrWeb 4.44.0.09170 2009.01.01 -
    eTrust-Vet 31.6.6286 2008.12.31 -
    Ewido 4.0 2008.12.31 -
    F-Prot 4.4.4.56 2009.01.01 -
    F-Secure 8.0.14470.0 2009.01.01 -
    Fortinet 3.117.0.0 2009.01.01 -
    GData 19 2009.01.01 -
    Ikarus T3.1.1.45.0 2009.01.01 -
    K7AntiVirus 7.10.572 2008.12.31 -
    Kaspersky 7.0.0.125 2009.01.01 -
    McAfee 5480 2008.12.31 -
    McAfee+Artemis 5481 2009.01.01 -
    Microsoft 1.4205 2009.01.01 -
    NOD32 3729 2009.01.01 -
    Norman 5.80.02 2009.01.01 -
    Panda 9.0.0.4 2009.01.01 -
    PCTools 4.4.2.0 2009.01.01 -
    Prevx1 V2 2009.01.01 -
    Rising 21.10.22.00 2008.12.31 -
    SecureWeb-Gateway 6.7.6 2009.01.01 -
    Sophos 4.37.0 2009.01.01 -
    Sunbelt 3.2.1809.2 2008.12.22 -
    Symantec 10 2009.01.01 -
    TheHacker 6.3.1.4.202 2008.12.30 -
    TrendMicro 8.700.0.1004 2009.01.01 -
    VBA32 3.12.8.10 2009.01.01 -
    ViRobot 2008.12.30.1540 2008.12.31 -
    VirusBuster 4.5.11.0 2008.12.31 -

    Sinon, je ne sais pas quel fichier Windows prendre, vu que j'ai XP Media Center... Familial ou Pro ?
    0
  18. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    familiale.

    EDIT : Si tu n'as pas encore téléchargé la console, plus simple :

    Démarrer -> Exécuter, tapes c:\i386\winnt32.exe /cmdcons

    Puis lance ComBoFix en double cliquant sur l'exécutable du bureau.
    Suis les invites.
    laisse travailler l'outil.
    Tu postes le rapport.

    A+
    0
  19. Funfair
     
    Oki, je vais faire ça.

    Sinon, Antivir m'a aussi signaler "HEUR/Malware" dans C:\System Volume Information\...\A0094265.exe
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Dans la restauration système.
    On s'en occupera en la nettoyant.

    A+
    0
  21. Funfair
     
    Voici le rapport de ComboFix; à noter que je l'ai relancer 3 fois; je l'ai lancer une première fois puis je suis parti faire une course; quand je suis revenu, Antivir s'était réactivé tout seul et me signalai un virus (ce qui avait stopper l'analyse de Combofix) et bizarrement les paramêtres d'overclock de Catalyst s'étaient réinitialisés. Je l'ai lancé une seconde fois, ça a tourner puis le rapport s'est affiché mais je me suis aperçu que le pare-feu était resté activé. Je l'ai donc relancer une 3eme fois en ayant pris soin de bien tout désactiver. Voici donc le rapport :

    ComboFix 08-12-31.01 - CKévin 2009-01-02 20:06:48.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1551 [GMT 1:00]
    Lancé depuis: c:\documents and settings\CKévin\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-02 au 2009-01-02 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-30 20:53 . 2008-12-30 20:54 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-30 20:53 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-30 20:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-30 02:35 . 2008-12-30 02:35 <REP> d-------- c:\windows\ERUNT
    2008-12-30 02:26 . 2008-12-30 04:11 <REP> d-------- C:\SDFix
    2008-12-29 23:34 . 2008-12-29 23:34 <REP> d-------- C:\rsit
    2008-12-29 18:01 . 2008-12-29 18:01 <REP> d-------- c:\program files\Avira
    2008-12-29 18:01 . 2008-12-29 18:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
    2008-12-29 18:00 . 2008-12-29 18:00 65,024 --a------ c:\windows\system32\2rg3.es
    2008-12-29 18:00 . 2008-12-29 18:00 64,512 --a------ c:\windows\system32\ef3p.ee
    2008-12-29 18:00 . 2008-12-29 18:00 32,768 --a------ c:\windows\system32\zred.pa
    2008-12-29 18:00 . 2008-12-29 18:00 32,768 --a------ c:\windows\system32\fks.as
    2008-12-29 18:00 . 2008-12-29 18:00 24,576 --a------ c:\windows\system32\4rr.pa
    2008-12-29 18:00 . 2008-12-29 18:00 21,504 --a------ c:\windows\system32\gr1.e
    2008-12-29 17:48 . 2008-12-29 17:49 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
    2008-12-27 22:49 . 2008-12-27 22:49 <REP> d-------- c:\windows\Logs
    2008-12-27 22:49 . 2007-03-12 16:42 3,495,784 --a------ c:\windows\system32\d3dx9_33.dll
    2008-12-27 22:49 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
    2008-12-27 22:49 . 2006-09-28 16:05 2,414,360 --a------ c:\windows\system32\d3dx9_31.dll
    2008-12-27 22:49 . 2007-03-12 16:42 1,123,696 --a------ c:\windows\system32\D3DCompiler_33.dll
    2008-12-27 22:49 . 2007-03-15 16:57 443,752 --a------ c:\windows\system32\d3dx10_33.dll
    2008-12-27 22:49 . 2007-04-04 18:55 261,480 --a------ c:\windows\system32\xactengine2_7.dll
    2008-12-27 22:49 . 2007-01-24 15:27 255,848 --a------ c:\windows\system32\xactengine2_6.dll
    2008-12-27 22:49 . 2006-12-08 12:02 251,672 --a------ c:\windows\system32\xactengine2_5.dll
    2008-12-27 22:49 . 2006-09-28 16:05 237,848 --a------ c:\windows\system32\xactengine2_4.dll
    2008-12-27 22:49 . 2006-07-28 09:30 236,824 --a------ c:\windows\system32\xactengine2_3.dll
    2008-12-27 22:49 . 2006-07-28 09:30 62,744 --a------ c:\windows\system32\xinput1_2.dll
    2008-12-27 22:49 . 2007-03-05 12:42 15,128 --a------ c:\windows\system32\x3daudio1_1.dll
    2008-12-26 22:05 . 2008-12-26 22:06 54,156 --ah----- c:\windows\QTFont.qfn
    2008-12-26 22:05 . 2008-12-26 22:06 1,409 --a------ c:\windows\QTFont.for
    2008-12-25 22:33 . 2008-12-25 22:33 <REP> d-------- c:\documents and settings\CKévin\Application Data\InstallShield
    2008-12-25 21:41 . 2008-12-25 21:41 <REP> d-------- c:\documents and settings\CKévin\Application Data\ATI
    2008-12-25 21:41 . 2008-12-25 21:41 <REP> d-------- c:\documents and settings\All Users\Application Data\ATI
    2008-12-25 19:21 . 2008-12-25 19:21 0 --a------ c:\windows\ativpsrm.bin
    2008-12-25 19:19 . 2008-12-26 21:57 <REP> d-------- c:\program files\ATI
    2008-12-25 19:18 . 2008-12-25 19:19 <REP> d-------- c:\program files\ATI Technologies
    2008-12-25 19:18 . 2008-12-01 14:35 593,920 --------- c:\windows\system32\ati2sgag.exe
    2008-12-25 19:17 . 2008-12-25 19:17 <REP> d-------- C:\ATI
    2008-12-22 23:10 . 2008-12-22 23:11 <REP> d-------- c:\program files\URS Magic -Circus Circus- (Bruch)
    2008-12-18 23:23 . 2009-01-02 00:17 <REP> d-------- c:\documents and settings\CKévin\Tracing
    2008-12-18 23:23 . 2009-01-02 00:17 <REP> d-------- c:\documents and settings\CKévin\Tracing
    2008-12-18 23:22 . 2008-12-18 23:22 <REP> d-------- c:\program files\Windows Live SkyDrive
    2008-12-18 23:22 . 2008-12-18 23:22 <REP> d-------- c:\program files\Microsoft
    2008-12-18 23:13 . 2008-12-18 23:13 <REP> d-------- c:\program files\Fichiers communs\Windows Live
    2008-12-15 23:55 . 2008-12-15 23:55 <REP> d-------- c:\program files\Windows Media Connect 2
    2008-12-15 23:53 . 2008-12-16 00:05 <REP> d-------- c:\windows\system32\drivers\UMDF
    2008-12-12 18:31 . 2008-12-12 18:31 <REP> d-------- c:\program files\Alwil Software
    2008-12-09 01:55 . 2008-12-09 01:55 <REP> d-------- c:\documents and settings\CKévin\Application Data\.emacs.d
    2008-12-07 02:40 . 2008-12-07 02:40 <REP> d-------- c:\program files\URS 2.0 Airwolf -Eberhard-
    2008-12-04 00:41 . 2008-12-15 22:11 <REP> d-------- c:\program files\DivX
    2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-01-02 11:32 --------- d-----w c:\program files\PeerGuardian2
    2008-12-29 16:25 579,584 ----a-w c:\windows\system32\user32.DLL
    2008-12-27 21:52 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
    2008-12-27 21:48 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
    2008-12-27 21:48 22,328 ----a-w c:\documents and settings\CKévin\Application Data\PnkBstrK.sys
    2008-12-27 21:48 107,832 ----a-w c:\windows\system32\PnkBstrB.exe
    2008-12-27 21:47 2,250,024 ----a-w c:\windows\system32\pbsvc.exe
    2008-12-27 21:41 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-12-27 21:41 --------- d-----w c:\program files\Ubisoft
    2008-12-26 13:59 --------- d-----w c:\documents and settings\CKévin\Application Data\FileZilla
    2008-12-25 21:04 86,016 ----a-w c:\windows\system32\OpenAL32.dll
    2008-12-22 22:16 --------- d-----w c:\documents and settings\All Users\Application Data\TrackMania
    2008-12-18 22:21 --------- d-----w c:\program files\Windows Live
    2008-12-12 17:26 --------- d-----w c:\program files\Norton AntiVirus
    2008-12-12 17:26 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
    2008-12-12 17:26 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
    2008-12-12 17:24 --------- d-----w c:\program files\Symantec
    2008-12-12 17:20 --------- d-----w c:\program files\eXplorer-World simulations
    2008-12-12 17:20 --------- d-----w c:\program files\eWs
    2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
    2008-12-01 20:52 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
    2008-12-01 20:51 318,464 ----a-w c:\windows\system32\ati2dvag.dll
    2008-12-01 20:46 11,304,960 ----a-w c:\windows\system32\atioglxx.dll
    2008-12-01 20:41 188,416 ----a-w c:\windows\system32\atipdlxx.dll
    2008-12-01 20:40 43,520 ----a-w c:\windows\system32\ati2edxx.dll
    2008-12-01 20:40 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
    2008-12-01 20:40 147,456 ----a-w c:\windows\system32\Oemdspif.dll
    2008-12-01 20:40 143,360 ----a-w c:\windows\system32\ati2evxx.dll
    2008-12-01 20:38 598,016 ----a-w c:\windows\system32\ati2evxx.exe
    2008-12-01 20:37 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
    2008-12-01 20:27 4,120,384 ----a-w c:\windows\system32\ati3duag.dll
    2008-12-01 20:19 307,200 ----a-w c:\windows\system32\atiiiexx.dll
    2008-12-01 20:11 2,495,360 ----a-w c:\windows\system32\ativvaxx.dll
    2008-12-01 19:57 48,640 ----a-w c:\windows\system32\amdpcom32.dll
    2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalrt.dll
    2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalcl.dll
    2008-12-01 19:53 401,408 ----a-w c:\windows\system32\atikvmag.dll
    2008-12-01 19:52 86,016 ----a-w c:\windows\system32\atiadlxx.dll
    2008-12-01 19:52 17,408 ----a-w c:\windows\system32\atitvo32.dll
    2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
    2008-12-01 19:50 3,252,224 ----a-w c:\windows\system32\Amdcaldd.dll
    2008-12-01 19:50 286,720 ----a-w c:\windows\system32\atiok3x2.dll
    2008-12-01 19:45 577,536 ----a-w c:\windows\system32\ati2cqag.dll
    2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
    2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
    2008-11-17 21:20 --------- d-----w c:\program files\QuickTime
    2008-11-17 18:45 52,783 ----a-w c:\windows\BricoPackUninst.cmd
    2008-11-17 18:45 4,837 ----a-w c:\windows\BricoPackFoldersDelete.cmd
    2008-11-17 18:45 219,648 ----a-w c:\windows\system32\uxtheme.dll
    2008-11-17 14:41 --------- d-----w c:\program files\Spybot - Search & Destroy
    2008-11-11 12:33 --------- d-----w c:\program files\Micro Application
    2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
    2008-10-21 18:51 118,784 ----a-w c:\windows\system32\atibrtmon.exe
    2008-10-21 17:40 81,920 ----a-w c:\windows\system32\ATIODE.exe
    2008-10-21 17:40 45,056 ----a-w c:\windows\system32\ATIODCLI.exe
    2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 69,144 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-07 11:33 6,058,112 ------w c:\windows\system32\nv4_disp.dll
    2008-10-07 11:33 5,799,936 ----a-w c:\windows\system32\nvdispsr.dll
    2008-10-07 11:33 458,752 ----a-w c:\windows\system32\nvmccssr.dll
    2008-10-07 11:33 4,149,248 ----a-w c:\windows\system32\nvvitvsr.dll
    2008-10-07 11:33 3,457,024 ----a-w c:\windows\system32\nvgamesr.dll
    2008-10-07 11:33 290,816 ----a-w c:\windows\system32\nvwrsth.dll
    2008-10-07 11:33 2,981,888 ----a-w c:\windows\system32\nvwssr.dll
    2008-10-07 11:33 2,854,912 ----a-w c:\windows\system32\nvmoblsr.dll
    2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LaunchApp"="Alaunch" [X]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
    "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
    "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
    "Gainward"="c:\program files\Vtune\TBPanel.exe" [2006-08-25 2154496]
    "VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-09-15 122880]
    "Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

    c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

    c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

    c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-06-01 45056]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
    "c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=
    "c:\\Program Files\\Sierra\\FEAR\\FEARMP.exe"=
    "c:\\Program Files\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\TmNationsForever\\TmForever.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

    S3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\DRIVERS\ar5513.sys [2008-02-18 355744]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{635800cf-f419-11dc-bb43-0014d1c0a05f}]
    \Shell\AutoRun\command - N:\AUTORUN.EXE
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/ig
    uInternet Connection Wizard,ShellNext = hxxp://www.aceradvantage.com/stdreg
    uInternet Settings,ProxyOverride = *.local
    TCP: {4026FC4B-0EF5-441D-A981-8EC91B15E016} = 212.27.40.240,212.27.40.241
    .
    .
    ------- Associations de fichier -------
    .
    inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-01-02 20:07:35
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(536)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'lsass.exe'(596)
    c:\windows\system32\scecli.dll
    .
    Heure de fin: 2009-01-02 20:08:15
    ComboFix-quarantined-files.txt 2009-01-02 19:08:13
    ComboFix2.txt 2009-01-02 19:04:35
    ComboFix3.txt 2008-10-16 17:31:23

    Avant-CF: 55 398 858 752 octets libres
    Après-CF: 55,379,783,680 octets libres

    234 --- E O F --- 2008-12-18 20:25:08
    0
  • 1
  • 2
  • 3