Infecté par kungsfxjobouep.sys !!!

Résolu
Blackangel1974 Messages postés 38 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour à tous,

voilà comme le titre le dit mon pc est infecté par ce virus, AVG le détecte mais dès que je veux le supprimer, il revient aussi vite, j'ai cherché via google des solutions mais rien de vraiment concret n'apparaît au sujet de ce virus.

Voici le rapport HijackThis qui me semble court:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:40:42, on 4/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1392740
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

--
End of file - 4648 bytes

J'ai remarqué aussi que le virus est apparu lorsque j'ai mis à jour MalWareByte's qui depuis ne fonctionne plus.

Merci d'avance pour votre aide et bonne journée.
Configuration: Windows Vista
Firefox 3.0.10

39 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet décrit une infection virale sur un PC Windows Vista où AVG détecte le malware mais le supprimer échoue, le bogue revenant après chaque tentative et les rapports HijackThis indiquant des éléments.
Plusieurs réponses préconisent de mettre à jour Adobe Reader pour combler une faille de sécurité et demandent un nouveau rapport HijackThis pour contrôler les éléments persistants.
D'autres conseils détaillent des étapes concrètes: exécuter ToolsCleaner puis CCleaner, réinstaller HijackThis, purger puis réactiver la restauration système, puis réaliser un scan en ligne BitDefender et partager le rapport.
Une réponse ultérieure présente un rapport ComboFix révélant des drivers et fichiers suspects (par exemple kungsfbcffmxqn, PnkBstrA/B), indiquant l’ampleur de l'infection et la nécessité d’outils dédiés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    on va s'occuper de cette salté .... ^^

    commence par faire ceci :

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Ferme bien toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    ( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
    cela risque d'être trop long pour le forum ...
    Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

    0
  2. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Un grand merci pour ta réponse super rapide sKe69 :-)

    Voici le 1er log:

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by DaPi at 2009-06-04 10:03:09
    Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
    System drive C: has 192 GB (40%) free of 477 GB
    Total RAM: 3070 MB (62% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:03:11, on 4/06/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
    C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
    C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
    C:\Program Files\ASUS\PC Probe II\Probe2.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
    C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    C:\Prog Sécurité\AVG\avgtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Users\DaPi\Documents\utorrent.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Downloads\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\DaPi.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1392740
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
    O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
    O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
    O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
    0
  3. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Et voici le second:
    info.txt logfile of random's system information tool 1.06 2009-06-04 10:03:12

    ======Uninstall list======

    -->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 8.1.3-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81300000003}
    Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
    Aerosoft's - Alcatraz-->C:\Program Files\InstallShield Installation Information\{5F8AC8E8-3377-42FF-BAF3-6113FFAF1704}\setup.exe -runfromtemp -l0x0009 -removeonly
    Aerosoft's - Flight Tales I-->C:\Program Files\InstallShield Installation Information\{92B44BC9-B9A1-43F7-ABBC-A197A34A656E}\setup.exe -runfromtemp -l0x0009 -uninst -removeonly
    Aerospace FU24-950 series Fletcher-->C:\Games\Games David\FSX\Uninstal.exe
    ALUpdate-->"C:\Program Files\ESTsoft\ALUpdate\unins000.exe"
    ALZip-->"C:\Program Files\ESTsoft\ALZip\unins000.exe"
    America's Army-->MsiExec.exe /I{D873FA4B-C374-4F8A-8D9A-130DB56FAB16}
    ASUS Gamer OSD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F88C9E5-12BD-404F-AC6A-108BAAC9B708}\setup.exe" -l0x9 -removeonly
    ASUS Smart Doctor-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{520C3B22-DB86-4FAD-B856-45C1D9F5B0DE} /l1036
    ASUS VideoSecurity Online-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{7A529246-912F-4C40-A82A-E608DB702FD7}
    ASUSUpdate-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x40c
    AVG 8.5-->C:\Prog Sécurité\AVG\setup.exe /UNINSTALL
    AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
    Call of Atlantis-->"C:\Windows\Call of Atlantis\uninstall.exe" "/U:C:\Games\Games Pina\Atlantis\Uninstall\uninstall.xml"
    Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
    Canadair Argonaut and North Star for FSX or FS2004-->MsiExec.exe /X{7B2DC782-CD37-4436-81FA-A60504C4EFBA}
    C-Media USB Sound-->C:\Windows\CmiUSB2Uninstall.exe C:\PROGRA~1\C-MEDI~1#C-Media USB Sound
    Crazy Racing Cars-->"C:\Games\Games David\Crazy Racing Cars\unins000.exe"
    Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
    Douglas DC-4 for FSX or FS2004-->MsiExec.exe /X{FD806CE1-A3C1-4F9E-A1F5-3E68D6A873BF}
    Express Gate-->MsiExec.exe /I{685C7EBA-82F4-44F8-9514-911A69850DA3}
    Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
    Flight Deck 5 FSX-->MsiExec.exe /X{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}
    Free Easy Burner V 3.8-->"C:\Program Files\Free Easy Burner\unins000.exe"
    FSX ALPHA Bristol Bulldog IIA-->C:\Games\Games David\FSX\Uninstal.exe
    FSXDe Havilland Dh89a Dragon Rapide.-->C:\Games\Games David\FSX\Uninstal.exe
    Garmin Communicator Plugin-->MsiExec.exe /X{86B879A5-927E-4536-B5FC-17CA96B60078}
    Garmin USB Drivers-->MsiExec.exe /X{B1102A25-3AA3-446B-AA0F-A699B07A02FD}
    Guitar Hero III-->MsiExec.exe /I{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}
    Guitar Hero: Aerosmith-->MsiExec.exe /I{46F42615-BA31-45A0-BE10-2D2119749E95}
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
    Jenny's Fish Shop-->"C:\Windows\Jenny's Fish Shop\uninstall.exe" "/U:C:\Games\Games Pina\Jenny's Fish Shop\Uninstall\uninstall.xml"
    Just Flight - FS Insider C152-->C:\Program Files\InstallShield Installation Information\{E55250B8-D012-47A3-97E2-99FFBD0D3AD3}\setup.exe -runfromtemp -l0x040c -removeonly
    Lockheed Orion 9 for FSX or FS2004-->MsiExec.exe /X{637DEB8C-473B-449B-B9D5-7811329D8683}
    Magic Ball 4-->"C:\Windows\Magic Ball 4\uninstall.exe" "/U:C:\Games\Games Kids\Magic Ball 4\Uninstall\uninstall.xml"
    Malwarebytes' Anti-Malware-->"C:\Prog Sécurité\Malwarebytes' Anti-Malware\unins000.exe"
    Medal of Honor Airborne-->MsiExec.exe /X{25F28E39-FDBB-11DB-8314-0800200C9A66}
    Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Flight Simulator X Service Pack 1-->c:\Windows\system32\msiexec.exe /qb /l*vx "%TEMP%\FlightSimPatchUninstall.log" /uninstall {4576CB22-DC03-48A0-B74C-6C0A7F23E0A8} /package {9527A496-5DF9-412A-ADC7-168BA5379CA6}
    Microsoft Flight Simulator X: Acceleration-->C:\Windows\system32\msiexec.exe /qb /l*vx "%TEMP%\FlightSimUninstall.log" /uninstall {3A1EE107-F79B-49FA-83CF-94169E63F25A}
    Microsoft Flight Simulator X: Acceleration-->MsiExec.exe /I{3A1EE107-F79B-49FA-83CF-94169E63F25A}
    Microsoft Flight Simulator X-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{9527A496-5DF9-412A-ADC7-168BA5379CA6}
    Microsoft Flight Simulator X-->MsiExec.exe /X{9527A496-5DF9-412A-ADC7-168BA5379CA6}
    Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
    NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
    NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
    PC Probe II-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x40c
    PicNic-->C:\Games\Games David\PicNic\Uninstal.exe
    Pilote d'hélicoptères FSX-->MsiExec.exe /X{1BD67B28-313F-46F3-B07E-9A862408897B}
    Pizza Chef-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1AA8B522-AF42-4E1F-80B6-61D648EE3BFD}\setup.exe" -l0x9 -removeonly
    PSP Video 9 4.06-->C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe
    PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
    Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x040c -removeonly
    Realtek Ethernet Network Card Diagnostic tool for Windows Vista-->C:\Program Files\InstallShield Installation Information\{1FECF5F8-8E75-432C-9FF7-1C04F1956B54}\setup.exe -runfromtemp -l0x040c -removeonly
    RTL Photos-->"C:\Program Files\RTL Photos\unttpe.exe"
    S.T.A.L.K.E.R. - Shadow of Chernobyl-->"C:\Games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\unins000.exe"
    Search and Rescue 4-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BF8921C7-59DD-486C-8D8A-B433DC4A5323}
    Short S8 Calcutta for FSX or FS2004-->MsiExec.exe /X{F847CD5C-1938-45BE-A081-0E973AD93D96}
    Sunshine Acres-->"C:\Windows\Sunshine Acres\uninstall.exe" "/U:C:\Games\Games Pina\Sunshine acres\Uninstall\uninstall.xml"
    SWAT 4-->"C:\Windows\SWAT 4\uninstall.exe" "/U:C:\Games\Games David\Swat4\Uninstall\uninstall.xml"
    TreeX V2-->"C:\Program Files\TreeX\unins000.exe"
    VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
    Wendy's Wellness-->"C:\Program Files\BigfishGames\Wendy's Wellness\unins000.exe"
    Windows Driver Package - Garmin (grmnusb) GARMIN Devices (03/08/2007 2.2.1.0)-->rundll32.exe C:\PROGRA~1\DIFX\15B7F172FC21855D\DIFxAppA.dll, DIFxARPUninstallDriverPackage C:\Windows\System32\DriverStore\FileRepository\grmnusb.inf_6b094708\grmnusb.inf
    Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe"
    XviD MPEG-4 Video Codec-->C:\Windows\system32\rundll32.exe setupapi,InstallHinfSection Remove_XviD 132 C:\Windows\INF\xvid.inf
    YouTube Downloader App 1.02-->C:\Program Files\Regensoft\Downloader App\uninstaller.exe

    ======Security center information======

    AS: Windows Defender

    ======System event log======

    Computer Name: PC-DaPi
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 42727
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090602061643.390625-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 42826
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090603065442.359375-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 42929
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090603071718.187500-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {B7D931C1-85AC-402E-8315-2B6251821CE6}
    Utilisateur : PC-DaPi\DaPi
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : driver:MBAMSwissArmy;file:C:\Windows\system32\drivers\mbamswissarmy.sys
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 43013
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20090603072416.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-DaPi
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 43063
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090604071553.765625-000
    Event Type: Erreur
    User:

    =====Application event log=====

    Computer Name: PC-DaPi
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 7595
    Source Name: Microsoft-Windows-WMI
    Time Written: 20090601175623.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 7625
    Source Name: Microsoft-Windows-WMI
    Time Written: 20090602061813.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 7646
    Source Name: Microsoft-Windows-WMI
    Time Written: 20090603065622.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 7673
    Source Name: Microsoft-Windows-WMI
    Time Written: 20090603071858.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-DaPi
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 7695
    Source Name: Microsoft-Windows-WMI
    Time Written: 20090604071735.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: PC-DaPi
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
    Record Number: 12886
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090604080311.158975-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-DaPi
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
    Record Number: 12887
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090604080311.172646-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-DaPi
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
    Record Number: 12888
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090604080311.185341-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-DaPi
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
    Record Number: 12889
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090604080311.198035-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-DaPi
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
    Record Number: 12890
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090604080311.211706-000
    Event Type: Échec de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ESTsoft\ALZip
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
    "PROCESSOR_REVISION"=170a
    "NUMBER_OF_PROCESSORS"=2
    "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
    "DFSTRACINGON"=FALSE

    -----------------EOF-----------------
    0
  4. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Pour info, d'après AVG le virus se trouve dans C:\Windows\System32\Drivers mais je ne le trouve pas dedans.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    t'inquiète on va régler cela .... suis les indiquations que je te donne et ne fait rien d'autre !

    fais ceci :

    Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

    > http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    --> clique droit / "exécuter entant qu'admin..." sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

    IMPERATIF:
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # clique droit / "exécuter entant qu'admin..." sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  7. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Je n'arrive pas à l'exécuter en tant qu'admin, la case est grisée et inaccessible.
    0
  8. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    tien ... bizard ... exécute normalement pour voir ....

    0
  9. Blackangel1974 Messages postés 38 Statut Membre 1
     
    En exécution normale, il y a 3x "accès refusé" qui s'affiche puis le prog se ferme.
    0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    laisse tomber UsbFix ... on va taper dans le vif direct ...

    dis moi si tu peux faire ceci :

    *Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

    0
  11. Blackangel1974 Messages postés 38 Statut Membre 1
     
    OK, voici le log:

    ############################## [ UsbFix V3.028 | Scan ]

    # User : DaPi (Administrateurs) # PC-DAPI
    # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 12:10:45 | 4/06/2009

    # Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Disabled

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 465,76 Go (187,88 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque CD-ROM # 1,47 Go (0 Mo free) [SWAT4] # CDFS
    # F:\ # Disque amovible # 7,46 Go (3,09 Go free) # FAT32
    # G:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS

    ############################## [ Processus actifs ]

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\ATKFUSService.exe
    C:\Windows\system32\nvvsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\AUDIODG.EXE
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\rundll32.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\System32\ASDR.exe
    C:\PROGSC~1\AVG\avgwdsvc.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\PROGSC~1\AVG\avgemc.exe
    C:\PROGSC~1\AVG\avgrsx.exe
    C:\PROGSC~1\AVG\avgnsx.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
    C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
    C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
    C:\Program Files\ASUS\PC Probe II\Probe2.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
    C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    C:\Prog Sécurité\AVG\avgtray.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\conime.exe

    ################## [ Registre Startup ]

    HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
    HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    HKCU_Main: "Start Page"="http://search.conduit.com?SearchSource=10&ctid=CT1392740"
    HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
    HKLM_Run: HDAudDeck=C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
    HKLM_Run: ASUSGamerOSD=C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    HKLM_Run: AVG8_TRAY=C:\PROGSC~1\AVG\avgtray.exe
    HKLM_Run: Launch PC Probe II="C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
    HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    HKLM_Run: CmUsbSound=RunDll32 cmcnfgu.cpl,CMICtrlWnd
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: DAEMON Tools Pro Agent="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! E:\autorun.inf
    Found ! G:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Found ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )

    ################## [ Registre # Mountpoints2 ]

    HKCU\...\Explorer\MountPoints2\{1bb5eaeb-1252-11de-b730-002354b7c473}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{6461fc63-0ce9-11de-b72f-002354b7c473}\Shell\AutoRun\Command

    ################## [ ! Fin du rapport # UsbFix V3.028 ! ]

    et encore merci pour le temps que tu m'accordes ;-)
    0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    la suite :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # relance UsbFix .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    ===================

    2- refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse ....
    0
  13. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Voici le log d'USBfix:

    ############################## [ UsbFix V3.028 | Cleaning ]

    # User : DaPi (Administrateurs) # PC-DAPI
    # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 12:51:38 | 4/06/2009

    # Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Disabled

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 465,76 Go (187,89 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque CD-ROM
    # F:\ # Disque amovible # 7,46 Go (3,09 Go free) # FAT32
    # G:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS

    ############################## [ Processus actifs ]

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\ATKFUSService.exe
    C:\Windows\system32\nvvsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\LogonUI.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\AUDIODG.EXE
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\rundll32.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\ASDR.exe
    C:\PROGSC~1\AVG\avgwdsvc.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\PROGSC~1\AVG\avgrsx.exe
    C:\PROGSC~1\AVG\avgnsx.exe
    C:\PROGSC~1\AVG\avgemc.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\runonce.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
    C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
    C:\Windows\system32\DllHost.exe
    C:\Program Files\ASUS\SmartDoctor\InitSD.exe
    C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
    C:\Program Files\ASUS\PC Probe II\Probe2.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\taskeng.exe

    ################## [ Fichiers # Dossiers infectieux ]

    (!) Not Deleted ! G:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    # HKLM\software\microsoft\security center\Svc\\ "AntiVirusOverride" # -> Reset sucessfully !

    ################## [ Registre # Mountpoints2 ]

    Deleted ! HKCU\...\Explorer\MountPoints2\{1bb5eaeb-1252-11de-b730-002354b7c473}\Shell\AutoRun\Command
    Deleted ! HKCU\...\Explorer\MountPoints2\{6461fc63-0ce9-11de-b72f-002354b7c473}\Shell\AutoRun\Command

    ################## [ Listing des fichiers présent ]

    [18/09/2006 23:43|--a------|24] - C:\autoexec.bat
    [21/01/2008 04:34|-rahs----|333203] - C:\bootmgr
    [09/03/2009 18:40|-ra-s----|8192] - C:\BOOTSECT.BAK
    [18/09/2006 23:43|--a------|10] - C:\config.sys
    [?|?|?] - C:\hiberfil.sys
    [04/04/2009 17:26|-rahs----|0] - C:\IO.SYS
    [04/04/2009 17:26|-rahs----|0] - C:\MSDOS.SYS
    [?|?|?] - C:\pagefile.sys
    [09/03/2009 21:19|--ah-----|46] - C:\splash.idx
    [04/06/2009 12:52|--a------|3598] - C:\UsbFix.txt
    [05/06/2008 15:59|--ah-----|5312] - C:\version
    [23/10/2007 08:45|-ra------|1336632] - F:\LaunchU3.exe
    [06/05/2008 14:26|-r-------|309] - G:\autorun.inf
    [23/10/2007 09:45|-r-------|1336632] - G:\LaunchU3.exe
    [06/05/2008 14:11|-r-------|5600229] - G:\LaunchPad.zip

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.028 ! ]
    0
  14. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Et celui de RSIT:

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by DaPi at 2009-06-04 13:00:21
    Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
    System drive C: has 210 GB (44%) free of 477 GB
    Total RAM: 3070 MB (71% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:00:36, on 4/06/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
    C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
    C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
    C:\Program Files\ASUS\PC Probe II\Probe2.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
    C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    C:\Prog Sécurité\AVG\avgtray.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Downloads\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\DaPi.exe
    C:\Windows\system32\DllHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
    O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
    O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O13 - Gopher Prefix:
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
    O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
    0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    dans l'ordre :

    1- Télécharge CCleaner :
    http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    ==========================

    2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

    - le renommage au téléchargement est primordial pour contrer le virus , sinon l'outil sera inutilisable -

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
    --------------------------------------------------------------------------------------------

    Ensuite :
    clique droit / "executer entant qu'admin..." sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

    Appuie sur la touche Y (Yes) pour démarrer le scan .

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici: C:\Combofix.txt

    Réactive bien tes défenses

    Poste le rapport Combofix pour analyse ...

    0
  16. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Voilà le log:
    ComboFix 09-06-03.04 - DaPi 04/06/2009 14:15.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.32.1036.18.3070.2127 [GMT 2:00]
    Lancé depuis: c:\users\DaPi\Desktop\CFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\kungsfxjobouep.sys
    c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf
    c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
    c:\windows\system32\kungsfnyvdehxx.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_kungsfbcffmxqn

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-04 au 2009-06-04 ))))))))))))))))))))))))))))))))))))
    .

    2009-06-04 12:32 . 2009-06-04 12:45 -------- d-----w- c:\users\DaPi\AppData\Local\temp
    2009-06-04 11:40 . 2009-06-04 11:40 -------- d-----w- c:\program files\CCleaner
    2009-06-04 08:59 . 2009-06-04 10:53 -------- d-----w- C:\UsbFix
    2009-06-04 08:03 . 2009-06-04 08:03 -------- d-----w- C:\rsit
    2009-06-04 07:34 . 2009-06-04 07:34 -------- d-----w- c:\program files\Trend Micro
    2009-05-29 12:48 . 2009-05-29 12:48 -------- d-----w- c:\users\DaPi\AppData\Roaming\Red Kawa
    2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\Regensoft
    2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\AviSynth 2.5
    2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\Red Kawa
    2009-05-23 18:01 . 2009-05-23 18:01 -------- d-----w- c:\windows\SWAT 4
    2009-05-21 00:31 . 2009-05-21 00:37 -------- d-----w- c:\users\DaPi\AppData\Roaming\Xfire
    2009-05-21 00:31 . 2009-05-21 00:31 -------- d-----w- c:\program files\Xfire
    2009-05-21 00:31 . 2009-05-21 00:31 -------- d-----w- c:\programdata\Xfire
    2009-05-20 19:19 . 2009-05-20 19:19 -------- d-----w- c:\users\DaPi\AppData\Roaming\SpinTop Games
    2009-05-16 04:05 . 2009-05-16 04:05 -------- d-----w- c:\program files\directx
    2009-05-14 16:32 . 2009-05-14 16:37 -------- d-----w- c:\program files\RTL Photos
    2009-05-12 22:03 . 2009-05-12 22:03 -------- d-----w- c:\programdata\SugarGames
    2009-05-12 16:18 . 2009-05-12 16:18 -------- d-----w- c:\programdata\PlayfulAge
    2009-05-12 16:14 . 2009-05-12 16:14 -------- d-----w- c:\program files\BigfishGames
    2009-05-11 18:21 . 2009-05-22 18:24 -------- d-----w- c:\users\DaPi\AppData\Roaming\Alawar
    2009-05-11 18:18 . 2009-05-12 17:46 -------- d-----w- c:\users\DaPi\AppData\Roaming\MagicBall4
    2009-05-11 18:18 . 2009-05-11 18:21 -------- d-----w- c:\users\DaPi\AppData\Roaming\DreamDale
    2009-05-11 17:49 . 2009-05-11 17:49 -------- d-----w- c:\program files\Yahoo Games
    2009-05-11 17:42 . 2009-05-11 17:42 -------- d-----w- c:\windows\Magic Ball 4
    2009-05-11 17:40 . 2009-05-11 17:40 -------- d-----w- c:\windows\Jenny's Fish Shop
    2009-05-11 17:32 . 2009-05-11 17:32 -------- d-----w- c:\windows\Sunshine Acres
    2009-05-10 12:30 . 2009-05-10 12:30 -------- d-----w- c:\users\DaPi\AppData\Local\Microsoft Game Studios

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-04 12:08 . 2008-01-21 07:23 679180 ----a-w- c:\windows\system32\perfh00C.dat
    2009-06-04 12:08 . 2008-01-21 07:23 128212 ----a-w- c:\windows\system32\perfc00C.dat
    2009-06-04 10:08 . 2009-03-09 23:20 -------- d-----w- c:\users\DaPi\AppData\Roaming\uTorrent
    2009-06-03 07:17 . 2009-03-09 21:59 -------- d-----w- c:\programdata\avg8
    2009-06-01 19:46 . 2009-03-11 09:00 3371383 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2009-05-29 12:19 . 2009-03-09 23:11 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
    2009-05-29 12:19 . 2009-03-09 23:11 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
    2009-05-26 11:20 . 2009-03-11 09:00 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-05-26 11:19 . 2009-03-11 09:00 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-05-16 04:06 . 2009-03-09 18:53 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-05-14 16:33 . 2009-03-09 17:53 57696 ----a-w- c:\users\DaPi\AppData\Local\GDIPFONTCACHEV1.DAT
    2009-05-13 14:02 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2009-05-03 19:58 . 2009-05-03 19:58 -------- d-----w- c:\programdata\Playrix Entertainment
    2009-05-03 18:22 . 2009-05-03 18:22 -------- d-----w- c:\users\DaPi\AppData\Roaming\EleFun Games
    2009-05-02 08:13 . 2009-03-09 21:59 11952 ----a-w- c:\windows\system32\avgrsstx.dll
    2009-05-02 08:13 . 2009-03-09 21:59 325896 ----a-w- c:\windows\system32\drivers\avgldx86.sys
    2009-05-02 08:13 . 2009-03-09 21:59 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2009-05-02 08:13 . 2009-03-09 21:59 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2009-04-29 21:20 . 2009-04-29 21:20 41808 ----a-w- c:\windows\system32\xfcodec.dll
    2009-04-26 16:07 . 2009-04-26 16:06 -------- d-----w- c:\program files\TreeX
    2009-04-24 17:11 . 2009-04-24 17:11 53248 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}\NewShortcut1_2ACDB570B2864AE589DA7B404F32D9A3.exe
    2009-04-24 17:11 . 2009-04-24 17:11 40960 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}\NewShortcut2_2ACDB570B2864AE589DA7B404F32D9A3.exe
    2009-04-23 14:21 . 2009-04-23 14:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
    2009-04-22 17:17 . 2006-11-02 12:35 -------- d-----w- c:\program files\Microsoft Games
    2009-04-20 17:36 . 2009-04-20 17:36 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-04-13 12:25 . 2009-04-13 12:25 -------- d-----w- c:\users\DaPi\AppData\Roaming\PlayFirst
    2009-04-13 12:25 . 2009-04-13 12:25 -------- d-----w- c:\programdata\PlayFirst
    2009-04-11 19:13 . 2009-04-04 16:38 -------- d-----w- c:\users\DaPi\AppData\Roaming\RobinsonCrusoe
    2009-04-11 17:59 . 2009-04-03 20:23 -------- d-----w- c:\users\DaPi\AppData\Roaming\Anabel
    2009-04-10 23:23 . 2009-04-10 23:23 -------- d-----w- c:\program files\C-Media USB Sound
    2009-03-17 03:38 . 2009-04-15 07:21 13824 ----a-w- c:\windows\system32\apilogen.dll
    2009-03-17 03:38 . 2009-04-15 07:21 24064 ----a-w- c:\windows\system32\amxread.dll
    2009-03-16 18:00 . 2009-03-16 18:00 8854 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\UNINST_Uninstall_G_0CE1A6C0F3F749E68F9D2431F9827441_1.exe
    2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut5_0CE1A6C0F3F749E68F9D2431F9827441.exe
    2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut4_0CE1A6C0F3F749E68F9D2431F9827441.exe
    2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut3_0CE1A6C0F3F749E68F9D2431F9827441.exe
    2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut2_0CE1A6C0F3F749E68F9D2431F9827441.exe
    2009-03-16 18:00 . 2009-03-16 18:00 10134 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\ARPPRODUCTICON.exe
    2009-03-16 17:42 . 2009-03-16 17:42 685816 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-03-12 21:35 . 2009-03-12 21:35 86016 ----a-w- c:\windows\system32\OpenAL32.dll
    2009-03-12 21:35 . 2009-03-12 21:35 262144 ----a-w- c:\windows\system32\wrap_oal.dll
    2009-03-11 22:11 . 2009-03-09 23:11 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
    2009-03-11 17:09 . 2009-03-11 17:09 92 ----a-w- c:\users\DaPi\AppData\Local\fusioncache.dat
    2009-03-11 17:03 . 2009-03-09 23:11 22328 ----a-w- c:\users\DaPi\AppData\Roaming\PnkBstrK.sys
    2009-03-11 17:03 . 2009-03-09 23:11 22328 ----a-w- c:\users\DaPi\AppData\Roaming\PnkBstrK.sys
    2009-03-11 17:03 . 2009-03-11 17:03 669184 ----a-w- c:\windows\system32\pbsvc.exe
    2009-03-09 21:10 . 2009-03-09 21:08 653965 ----a-w- c:\windows\P5KPL-1600-0403.zip
    2009-03-09 20:13 . 2009-03-09 20:13 12800 ----a-w- c:\windows\system32\drivers\EIO.sys
    2009-03-09 18:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
    2009-03-09 17:53 . 2009-03-09 17:52 680 ----a-w- c:\users\DaPi\AppData\Local\d3d9caps.dat
    2009-03-08 11:34 . 2009-05-30 11:55 914944 ----a-w- c:\windows\system32\wininet.dll
    2009-03-08 11:34 . 2009-05-30 11:55 43008 ----a-w- c:\windows\system32\licmgr10.dll
    2009-03-08 11:33 . 2009-05-30 11:55 18944 ----a-w- c:\windows\system32\corpol.dll
    2009-03-08 11:33 . 2009-05-30 11:55 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2009-03-08 11:33 . 2009-05-30 11:55 109568 ----a-w- c:\windows\system32\PDMSetup.exe
    2009-03-08 11:33 . 2009-05-30 11:55 132608 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-03-08 11:33 . 2009-05-30 11:55 107520 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
    2009-03-08 11:33 . 2009-05-30 11:55 107008 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2009-03-08 11:33 . 2009-05-30 11:55 103936 ----a-w- c:\windows\system32\SetDepNx.exe
    2009-03-08 11:33 . 2009-05-30 11:55 420352 ----a-w- c:\windows\system32\vbscript.dll
    2009-03-08 11:32 . 2009-05-30 11:55 72704 ----a-w- c:\windows\system32\admparse.dll
    2009-03-08 11:32 . 2009-05-30 11:55 71680 ----a-w- c:\windows\system32\iesetup.dll
    2009-03-08 11:32 . 2009-05-30 11:55 66560 ----a-w- c:\windows\system32\wextract.exe
    2009-03-08 11:32 . 2009-05-30 11:55 169472 ----a-w- c:\windows\system32\iexpress.exe
    2009-03-08 11:31 . 2009-05-30 11:55 34816 ----a-w- c:\windows\system32\imgutil.dll
    2009-03-08 11:31 . 2009-05-30 11:55 48128 ----a-w- c:\windows\system32\mshtmler.dll
    2009-03-08 11:31 . 2009-05-30 11:55 45568 ----a-w- c:\windows\system32\mshta.exe
    2009-03-08 11:22 . 2009-05-30 11:55 156160 ----a-w- c:\windows\system32\msls31.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DAEMON Tools Pro Agent"="c:\program files\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 136136]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2008-05-21 15519744]
    "ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2008-05-28 380928]
    "AVG8_TRAY"="c:\progsc~1\AVG\avgtray.exe" [2009-05-02 1947928]
    "Launch PC Probe II"="c:\program files\ASUS\PC Probe II\Probe2.exe" [2008-05-23 2137600]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13683232]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 92704]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "{02832C92-D497-475C-A165-B67F84F25549}"= c:\prog sécurité\AVG\avgemc.exe:avgemc.exe
    "{C3830EC1-7A3B-4B46-B30A-B4679BBCBCF6}"= c:\prog sécurité\AVG\avgupd.exe:avgupd.exe
    "{F9B7C914-4E06-40E6-ADC7-54CD87B748F1}"= c:\prog sécurité\AVG\avgnsx.exe:avgnsx.exe
    "TCP Query User{DE34EC82-66DC-4ACF-B1CD-1A0C2584E965}c:\\games\\games david\\moh\\mohpa.exe"= UDP:c:\games\games david\moh\mohpa.exe:Medal of Honor Pacific Assault(tm)
    "UDP Query User{E12399C2-0359-46EF-8F24-D5248F71CF4C}c:\\games\\games david\\moh\\mohpa.exe"= TCP:c:\games\games david\moh\mohpa.exe:Medal of Honor Pacific Assault(tm)
    "{656ADFC3-ED0C-456D-9214-2364385F82C8}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
    "{903686F0-16A9-4563-BA53-21F3EAE828A4}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
    "{78AAD3C7-2F9B-43FD-80C1-CB447BFD505E}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
    "{796FA7D5-9187-41E1-B76E-7314F8340371}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
    "{F9BFC8D3-E953-4000-BF53-4D772D75A0EB}"= UDP:c:\games\Games David\CoD4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
    "{A5084FC7-2A83-4BF8-A862-9738E678DBF9}"= TCP:c:\games\Games David\CoD4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
    "TCP Query User{A288596F-2177-4349-90F7-88B7821C92D3}c:\\users\\dapi\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\c6gp3g2n\\utorrent[1].exe"= UDP:c:\users\dapi\appdata\local\microsoft\windows\temporary internet files\content.ie5\c6gp3g2n\utorrent[1].exe:utorrent[1].exe
    "UDP Query User{1DBFAAF7-212A-40A2-B1EB-9FACA347D858}c:\\users\\dapi\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\c6gp3g2n\\utorrent[1].exe"= TCP:c:\users\dapi\appdata\local\microsoft\windows\temporary internet files\content.ie5\c6gp3g2n\utorrent[1].exe:utorrent[1].exe
    "TCP Query User{9969E922-1136-4C28-B577-3B587B3EE28B}c:\\users\\dapi\\documents\\utorrent.exe"= UDP:c:\users\dapi\documents\utorrent.exe:utorrent.exe
    "UDP Query User{7BBE575A-B2BB-4751-AE3F-94BD69BA7C43}c:\\users\\dapi\\documents\\utorrent.exe"= TCP:c:\users\dapi\documents\utorrent.exe:utorrent.exe
    "{797DE691-8C8D-4638-90AB-F162CB69D607}"= UDP:c:\games\Games David\MoH Airborne\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
    "{3120285C-EA5E-4528-AB05-C8045AC5CA33}"= TCP:c:\games\Games David\MoH Airborne\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
    "{B1690DA0-2AC4-4213-BF4A-F80BB01AC8EF}"= UDP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)
    "{2EB660BD-0315-48FF-8987-37AE70095541}"= TCP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)
    "{6A34F095-7C20-4AD6-BC81-C39FF4FFAB4A}"= UDP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)
    "{D69E66E6-94E1-42DE-B98D-373806418FC9}"= TCP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)
    "TCP Query User{3C85569B-44B1-4843-8EDC-68E00E681BD3}c:\\downloads\\utorrent.exe"= UDP:c:\downloads\utorrent.exe:utorrent
    "UDP Query User{4DD8A0DB-5985-490D-B502-3FCD6F315FF1}c:\\downloads\\utorrent.exe"= TCP:c:\downloads\utorrent.exe:utorrent
    "{1C1DD33A-5457-4DA4-BFCB-1BC5DB48969C}"= UDP:c:\games\Games David\Crisis\Bin32\Crysis.exe:Crysis_32
    "{5B99575A-02AF-4E63-88E3-87F415528798}"= TCP:c:\games\Games David\Crisis\Bin32\Crysis.exe:Crysis_32
    "{E0FAB7F0-C693-405C-B79B-8F04E360E537}"= UDP:c:\games\Games David\Crisis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
    "{A508DA2A-9E00-472B-B0AF-F337F3466138}"= TCP:c:\games\Games David\Crisis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
    "TCP Query User{754D631F-205B-4949-B0BA-C8C737640A11}c:\\games\\games david\\x-plane 7\\x-system 710\\x-plane 710.exe"= UDP:c:\games\games david\x-plane 7\x-system 710\x-plane 710.exe:X-Plane 710
    "UDP Query User{FEB783C1-6F3A-4030-93F8-0365C9F5A46A}c:\\games\\games david\\x-plane 7\\x-system 710\\x-plane 710.exe"= TCP:c:\games\games david\x-plane 7\x-system 710\x-plane 710.exe:X-Plane 710
    "TCP Query User{4E685105-3D96-4FFB-AC0D-CB21E4F22EDA}c:\\games\\games david\\aa\\system\\armyops.exe"= UDP:c:\games\games david\aa\system\armyops.exe:ArmyOps
    "UDP Query User{B53CC4B8-57B9-4069-8D7D-85E1098EC331}c:\\games\\games david\\aa\\system\\armyops.exe"= TCP:c:\games\games david\aa\system\armyops.exe:ArmyOps
    "TCP Query User{76DFD2D2-8ACE-4F69-A070-5066041CBECD}c:\\games\\games david\\ghiii\\gh3.exe"= UDP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
    "UDP Query User{4DF6AE04-E1AB-4A54-A1B8-DACBC69A441C}c:\\games\\games david\\ghiii\\gh3.exe"= TCP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
    "TCP Query User{1FD50D3E-2FE5-4AA2-850C-79581FC7C93D}c:\\downloads\\isos games\\left.4.dead.full-rip.skullptura\\left.4.dead.full-rip.skullptura\\left 4 dead\\left4dead.exe"= UDP:c:\downloads\isos games\left.4.dead.full-rip.skullptura\left.4.dead.full-rip.skullptura\left 4 dead\left4dead.exe:left4dead
    "UDP Query User{8D357644-BABD-45DE-B263-F006B35B814D}c:\\downloads\\isos games\\left.4.dead.full-rip.skullptura\\left.4.dead.full-rip.skullptura\\left 4 dead\\left4dead.exe"= TCP:c:\downloads\isos games\left.4.dead.full-rip.skullptura\left.4.dead.full-rip.skullptura\left 4 dead\left4dead.exe:left4dead
    "TCP Query User{1BF133A5-4175-4155-A2D4-61D824839D82}c:\\program files\\asus\\gamerosd\\sbs.exe"= UDP:c:\program files\asus\gamerosd\sbs.exe:ASUS SBS Application
    "UDP Query User{4B21F7CB-9BB6-40D1-8F98-459581932830}c:\\program files\\asus\\gamerosd\\sbs.exe"= TCP:c:\program files\asus\gamerosd\sbs.exe:ASUS SBS Application
    "TCP Query User{F6518F80-AC69-4140-BF4D-97FB4E81BE5B}c:\\games\\games david\\ghiii\\gh3.exe"= UDP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
    "UDP Query User{0456BD38-4CA0-4020-96E7-77011A659D90}c:\\games\\games david\\ghiii\\gh3.exe"= TCP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
    "TCP Query User{0C720669-057A-47E5-AA28-5BAD075078E2}c:\\users\\dapi\\games\\tom clancy's h.a.w.x\\hawx.exe"= UDP:c:\users\dapi\games\tom clancy's h.a.w.x\hawx.exe:hawx.exe
    "UDP Query User{19256149-F87A-44D3-8215-F14DF89808D3}c:\\users\\dapi\\games\\tom clancy's h.a.w.x\\hawx.exe"= TCP:c:\users\dapi\games\tom clancy's h.a.w.x\hawx.exe:hawx.exe
    "TCP Query User{44E5872E-4306-4449-A02E-95EE6F0F6366}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
    "UDP Query User{E24B49E4-18DF-4A15-8DF2-E362FCE7A127}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
    "{AFD15C8A-85EE-42CA-8284-10FCEE09E0FA}"= UDP:c:\games\Games David\Far Cry 2\bin\FarCry2.exe:Far Cry 2
    "{4518F483-D2F5-463E-B31D-E86AEF8FF87F}"= TCP:c:\games\Games David\Far Cry 2\bin\FarCry2.exe:Far Cry 2
    "{FEDF0293-1A12-4C18-8E59-99376A9B93CF}"= UDP:c:\games\Games David\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
    "{236F9E9C-D9DA-40BD-B818-DAE832544A3D}"= TCP:c:\games\Games David\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
    "{67611340-2355-449E-830E-D056BC3ECF50}"= UDP:c:\games\Games David\Far Cry 2\bin\FC2Editor.exe:Editeur
    "{28F30303-727B-44E1-9202-ECF458263E6F}"= TCP:c:\games\Games David\Far Cry 2\bin\FC2Editor.exe:Editeur
    "TCP Query User{58941B9F-5C5E-4434-AF1D-4D0A8382214F}c:\\games\\games david\\gh aerosmith\\guitar hero aerosmith.exe"= UDP:c:\games\games david\gh aerosmith\guitar hero aerosmith.exe:Guitar Hero: Aerosmith
    "UDP Query User{7DC91478-C449-4608-A4E0-8C7202ECBBD6}c:\\games\\games david\\gh aerosmith\\guitar hero aerosmith.exe"= TCP:c:\games\games david\gh aerosmith\guitar hero aerosmith.exe:Guitar Hero: Aerosmith
    "TCP Query User{34583A8E-7F33-49CF-B20E-5881273A870A}c:\\program files\\xfire\\xfire.exe"= UDP:c:\program files\xfire\xfire.exe:Xfire
    "UDP Query User{4D10AFB8-5242-4B64-B047-1591F6C88611}c:\\program files\\xfire\\xfire.exe"= TCP:c:\program files\xfire\xfire.exe:Xfire

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [9/03/2009 23:59 325896]
    R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [9/03/2009 23:59 108552]
    R2 avg8emc;AVG Free8 E-mail Scanner;c:\progsc~1\AVG\avgemc.exe [9/03/2009 23:59 908568]
    R2 avg8wd;AVG Free8 WatchDog;c:\progsc~1\AVG\avgwdsvc.exe [9/03/2009 23:59 298776]
    R2 RtNdPt60;Realtek NDIS Protocol Driver;c:\windows\System32\drivers\RtNdPt60.sys [9/03/2009 21:33 27648]
    R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [9/03/2009 20:53 269824]
    S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [11/03/2009 11:00 40160]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - sptd

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    Contenu du dossier 'Tâches planifiées'

    2009-06-04 c:\windows\Tasks\RtlNICDiagVistaStart.job
    - c:\program files\Realtek\RTNICDiag\RTNICDiag.exe [2009-03-09 16:23]

    2009-06-04 c:\windows\Tasks\User_Feed_Synchronization-{5BD0B874-0432-46D8-B9EE-552CC3FD9326}.job
    - c:\windows\system32\msfeedssync.exe [2009-05-30 11:31]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-CmUsbSound - cmcnfgu.cpl
    SafeBoot-procexp90.Sys

    .
    ------- Examen supplémentaire -------
    .
    FF - ProfilePath - c:\users\DaPi\AppData\Roaming\Mozilla\Firefox\Profiles\as14w2s8.default\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-04 14:45
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HDAudDeck = c:\program files\VIA\VIAudioi\VDeck\VDeck.exe -r???????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-170947012-2284591387-1473934823-1000\Software\SecuROM\License information*]
    "datasecu"=hex:01,51,d1,39,f3,11,69,16,e7,2d,d6,2d,35,bb,9e,b6,2f,28,db,68,c5,
    bb,1c,05,e9,57,04,73,3c,e8,c9,d8,03,4b,c0,a5,f7,c9,23,6f,ea,c8,53,61,3c,aa,\
    "rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\System32\ATKFUSService.exe
    c:\windows\System32\nvvsvc.exe
    c:\windows\System32\audiodg.exe
    c:\windows\System32\rundll32.exe
    c:\windows\System32\ASDR.exe
    c:\windows\System32\PnkBstrA.exe
    c:\windows\System32\PnkBstrB.exe
    c:\progsc~1\AVG\avgrsx.exe
    c:\progsc~1\AVG\avgnsx.exe
    c:\windows\System32\WUDFHost.exe
    c:\prog sécurité\AVG\avgcsrvx.exe
    c:\program files\ASUS\SmartDoctor\SmartDoctor.exe
    c:\program files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    c:\program files\ASUS\AASP\1.00.64\aaCenter.exe
    c:\windows\System32\conime.exe
    c:\prog sécurité\AVG\avgtray.exe
    c:\windows\System32\rundll32.exe
    c:\windows\System32\rundll32.exe
    c:\windows\System32\wbem\WMIADAP.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-06-04 14:46 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-06-04 12:46

    Avant-CF: 220.826.574.848 octets libres
    Après-CF: 220.629.684.224 octets libres

    271 --- E O F --- 2009-06-01 13:30
    0
  17. Blackangel1974 Messages postés 38 Statut Membre 1
     
    D'après le log , le virus a été éradiqué, en faisant un scan avec AVG, j'ai trouvé la source, c'est un jeu gratuit que j'avais téléchargé pour mon fils.

    J'attends ta confirmation sKe69 mais je te dis déjà un grand merci pour ton aide, content de voir qu'il y a encore des gens comme toi pour rendre service dans ce monde ;-)

    Une dernière question, quels sont les risques avec ce genre de virus qui est un scanneur de port je pense, dois-je changer tous mes mots de passe par sécurité?

    Bonne fin de journée à toi :-)
    0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    on n'a pas finit ! Pas de chose encore à voir ! .... ^^'

    la suite :

    1- refais un coup de CCleaner ( registre compris ).

    =======================

    2- Malwarebytes devrait de nouveau fonctionner , on va s'en servir :

    mets le à jour .

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
    accompagné d'un nouveau rapport RSIT pour analyse et attends la suite ...

    0
  19. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Voici le rapport de Malware:
    Malwarebytes' Anti-Malware 1.37
    Version de la base de données: 2228
    Windows 6.0.6001 Service Pack 1

    4/06/2009 17:02:31
    mbam-log-2009-06-04 (17-02-30).txt

    Type de recherche: Examen rapide
    Eléments examinés: 68503
    Temps écoulé: 14 minute(s), 9 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Et celui de RSIT:

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by DaPi at 2009-06-04 17:03:10
    Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
    System drive C: has 211 GB (44%) free of 477 GB
    Total RAM: 3070 MB (59% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:03:56, on 4/06/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
    C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
    C:\Program Files\ASUS\PC Probe II\Probe2.exe
    C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
    C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    C:\Prog Sécurité\AVG\avgtray.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Windows Mail\WinMail.exe
    C:\Prog Sécurité\AVG\avgui.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Prog Sécurité\AVG\avgscanx.exe
    C:\Prog Sécurité\AVG\avgcsrvx.exe
    C:\Downloads\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\DaPi.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
    O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
    O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O13 - Gopher Prefix:
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
    O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
    O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
    O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
    0
  20. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki .... c'est clean ...

    fais ceci maintenant :

    Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
    http://www.genproc.com/GenProc.exe

    !!Déconnecte toi et ferme tes applications en cours !!

    * clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

    * A la question "faites vous aidez sur un forum..." > clique sur " oui " .

    -> poste le contenu du rapport qui s'ouvre ...

    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

    0
  21. Blackangel1974 Messages postés 38 Statut Membre 1
     
    Voici:

    Rapport GenProc 2.572 [1]
    @ jeu. 04/06/2009 à 17:34:57
    @ Windows Vista Service Pack 1
    @ Mozilla Firefox (3.0.10) [Navigateur par défaut]

    ~~ "C:\Windows\sed.exe" a été renommé sed.exe_RenameGenProc ~~
    ~~ "C:\Windows\grep.exe" a été renommé grep.exe_RenameGenProc ~~
    ~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

    Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    # Etape 1/ Télécharge :

    - Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** DaPi *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

    # Etape 2/

    Lance Toolbar-S&D situé sur le Bureau.
    Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport TB.txt situé dans C:\ ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Arguments de la procédure ~~

    # Détections [1] GenProc 2.572 jeu. 04/06/2009 à 17:34:36
    Toolbar:le jeu. 04/06/2009 à 17:34:38 "C:\Program Files\GamesBar"
    0
  • 1
  • 2