Sujet Précédent Sujet Suivant

Infecté par kungsfxjobouep.sys !!!

Résolu
Blackangel1974 Messages postés 38 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour à tous,

voilà comme le titre le dit mon pc est infecté par ce virus, AVG le détecte mais dès que je veux le supprimer, il revient aussi vite, j'ai cherché via google des solutions mais rien de vraiment concret n'apparaît au sujet de ce virus.

Voici le rapport HijackThis qui me semble court:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:40:42, on 4/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1392740
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

39 réponses

  • 1
  • 2
Réponse 1 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

on va s'occuper de cette salté .... ^^

commence par faire ceci :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0
Réponse 2 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Un grand merci pour ta réponse super rapide sKe69 :-)

Voici le 1er log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by DaPi at 2009-06-04 10:03:09
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 192 GB (40%) free of 477 GB
Total RAM: 3070 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:11, on 4/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\DaPi\Documents\utorrent.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\DaPi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1392740
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
0
Réponse 3 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Et voici le second:
info.txt logfile of random's system information tool 1.06 2009-06-04 10:03:12

======Uninstall list======

-->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.3-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81300000003}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
Aerosoft's - Alcatraz-->C:\Program Files\InstallShield Installation Information\{5F8AC8E8-3377-42FF-BAF3-6113FFAF1704}\setup.exe -runfromtemp -l0x0009 -removeonly
Aerosoft's - Flight Tales I-->C:\Program Files\InstallShield Installation Information\{92B44BC9-B9A1-43F7-ABBC-A197A34A656E}\setup.exe -runfromtemp -l0x0009 -uninst -removeonly
Aerospace FU24-950 series Fletcher-->C:\Games\Games David\FSX\Uninstal.exe
ALUpdate-->"C:\Program Files\ESTsoft\ALUpdate\unins000.exe"
ALZip-->"C:\Program Files\ESTsoft\ALZip\unins000.exe"
America's Army-->MsiExec.exe /I{D873FA4B-C374-4F8A-8D9A-130DB56FAB16}
ASUS Gamer OSD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F88C9E5-12BD-404F-AC6A-108BAAC9B708}\setup.exe" -l0x9 -removeonly
ASUS Smart Doctor-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{520C3B22-DB86-4FAD-B856-45C1D9F5B0DE} /l1036
ASUS VideoSecurity Online-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{7A529246-912F-4C40-A82A-E608DB702FD7}
ASUSUpdate-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x40c
AVG 8.5-->C:\Prog Sécurité\AVG\setup.exe /UNINSTALL
AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
Call of Atlantis-->"C:\Windows\Call of Atlantis\uninstall.exe" "/U:C:\Games\Games Pina\Atlantis\Uninstall\uninstall.xml"
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
Canadair Argonaut and North Star for FSX or FS2004-->MsiExec.exe /X{7B2DC782-CD37-4436-81FA-A60504C4EFBA}
C-Media USB Sound-->C:\Windows\CmiUSB2Uninstall.exe C:\PROGRA~1\C-MEDI~1#C-Media USB Sound
Crazy Racing Cars-->"C:\Games\Games David\Crazy Racing Cars\unins000.exe"
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
Douglas DC-4 for FSX or FS2004-->MsiExec.exe /X{FD806CE1-A3C1-4F9E-A1F5-3E68D6A873BF}
Express Gate-->MsiExec.exe /I{685C7EBA-82F4-44F8-9514-911A69850DA3}
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
Flight Deck 5 FSX-->MsiExec.exe /X{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}
Free Easy Burner V 3.8-->"C:\Program Files\Free Easy Burner\unins000.exe"
FSX ALPHA Bristol Bulldog IIA-->C:\Games\Games David\FSX\Uninstal.exe
FSXDe Havilland Dh89a Dragon Rapide.-->C:\Games\Games David\FSX\Uninstal.exe
Garmin Communicator Plugin-->MsiExec.exe /X{86B879A5-927E-4536-B5FC-17CA96B60078}
Garmin USB Drivers-->MsiExec.exe /X{B1102A25-3AA3-446B-AA0F-A699B07A02FD}
Guitar Hero III-->MsiExec.exe /I{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}
Guitar Hero: Aerosmith-->MsiExec.exe /I{46F42615-BA31-45A0-BE10-2D2119749E95}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
Jenny's Fish Shop-->"C:\Windows\Jenny's Fish Shop\uninstall.exe" "/U:C:\Games\Games Pina\Jenny's Fish Shop\Uninstall\uninstall.xml"
Just Flight - FS Insider C152-->C:\Program Files\InstallShield Installation Information\{E55250B8-D012-47A3-97E2-99FFBD0D3AD3}\setup.exe -runfromtemp -l0x040c -removeonly
Lockheed Orion 9 for FSX or FS2004-->MsiExec.exe /X{637DEB8C-473B-449B-B9D5-7811329D8683}
Magic Ball 4-->"C:\Windows\Magic Ball 4\uninstall.exe" "/U:C:\Games\Games Kids\Magic Ball 4\Uninstall\uninstall.xml"
Malwarebytes' Anti-Malware-->"C:\Prog Sécurité\Malwarebytes' Anti-Malware\unins000.exe"
Medal of Honor Airborne-->MsiExec.exe /X{25F28E39-FDBB-11DB-8314-0800200C9A66}
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Flight Simulator X Service Pack 1-->c:\Windows\system32\msiexec.exe /qb /l*vx "%TEMP%\FlightSimPatchUninstall.log" /uninstall {4576CB22-DC03-48A0-B74C-6C0A7F23E0A8} /package {9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Flight Simulator X: Acceleration-->C:\Windows\system32\msiexec.exe /qb /l*vx "%TEMP%\FlightSimUninstall.log" /uninstall {3A1EE107-F79B-49FA-83CF-94169E63F25A}
Microsoft Flight Simulator X: Acceleration-->MsiExec.exe /I{3A1EE107-F79B-49FA-83CF-94169E63F25A}
Microsoft Flight Simulator X-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Flight Simulator X-->MsiExec.exe /X{9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
PC Probe II-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x40c
PicNic-->C:\Games\Games David\PicNic\Uninstal.exe
Pilote d'hélicoptères FSX-->MsiExec.exe /X{1BD67B28-313F-46F3-B07E-9A862408897B}
Pizza Chef-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1AA8B522-AF42-4E1F-80B6-61D648EE3BFD}\setup.exe" -l0x9 -removeonly
PSP Video 9 4.06-->C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x040c -removeonly
Realtek Ethernet Network Card Diagnostic tool for Windows Vista-->C:\Program Files\InstallShield Installation Information\{1FECF5F8-8E75-432C-9FF7-1C04F1956B54}\setup.exe -runfromtemp -l0x040c -removeonly
RTL Photos-->"C:\Program Files\RTL Photos\unttpe.exe"
S.T.A.L.K.E.R. - Shadow of Chernobyl-->"C:\Games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\unins000.exe"
Search and Rescue 4-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BF8921C7-59DD-486C-8D8A-B433DC4A5323}
Short S8 Calcutta for FSX or FS2004-->MsiExec.exe /X{F847CD5C-1938-45BE-A081-0E973AD93D96}
Sunshine Acres-->"C:\Windows\Sunshine Acres\uninstall.exe" "/U:C:\Games\Games Pina\Sunshine acres\Uninstall\uninstall.xml"
SWAT 4-->"C:\Windows\SWAT 4\uninstall.exe" "/U:C:\Games\Games David\Swat4\Uninstall\uninstall.xml"
TreeX V2-->"C:\Program Files\TreeX\unins000.exe"
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Wendy's Wellness-->"C:\Program Files\BigfishGames\Wendy's Wellness\unins000.exe"
Windows Driver Package - Garmin (grmnusb) GARMIN Devices (03/08/2007 2.2.1.0)-->rundll32.exe C:\PROGRA~1\DIFX\15B7F172FC21855D\DIFxAppA.dll, DIFxARPUninstallDriverPackage C:\Windows\System32\DriverStore\FileRepository\grmnusb.inf_6b094708\grmnusb.inf
Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe"
XviD MPEG-4 Video Codec-->C:\Windows\system32\rundll32.exe setupapi,InstallHinfSection Remove_XviD 132 C:\Windows\INF\xvid.inf
YouTube Downloader App 1.02-->C:\Program Files\Regensoft\Downloader App\uninstaller.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-DaPi
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 42727
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090602061643.390625-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 42826
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090603065442.359375-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 42929
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090603071718.187500-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
Non applicable
ID d’analyse : {B7D931C1-85AC-402E-8315-2B6251821CE6}
Utilisateur : PC-DaPi\DaPi
Nom : Unknown
ID :
ID de gravité :
ID de catégorie :
Chemin d’accès trouvé : driver:MBAMSwissArmy;file:C:\Windows\system32\drivers\mbamswissarmy.sys
Type d’alerte : Logiciel non classifié
Type de détection :
Record Number: 43013
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090603072416.000000-000
Event Type: Avertissement
User:

Computer Name: PC-DaPi
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 43063
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090604071553.765625-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-DaPi
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7595
Source Name: Microsoft-Windows-WMI
Time Written: 20090601175623.000000-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7625
Source Name: Microsoft-Windows-WMI
Time Written: 20090602061813.000000-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7646
Source Name: Microsoft-Windows-WMI
Time Written: 20090603065622.000000-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7673
Source Name: Microsoft-Windows-WMI
Time Written: 20090603071858.000000-000
Event Type: Erreur
User:

Computer Name: PC-DaPi
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7695
Source Name: Microsoft-Windows-WMI
Time Written: 20090604071735.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-DaPi
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 12886
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090604080311.158975-000
Event Type: Échec de l'audit
User:

Computer Name: PC-DaPi
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 12887
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090604080311.172646-000
Event Type: Échec de l'audit
User:

Computer Name: PC-DaPi
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 12888
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090604080311.185341-000
Event Type: Échec de l'audit
User:

Computer Name: PC-DaPi
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 12889
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090604080311.198035-000
Event Type: Échec de l'audit
User:

Computer Name: PC-DaPi
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 12890
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090604080311.211706-000
Event Type: Échec de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ESTsoft\ALZip
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------
0
Réponse 4 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Pour info, d'après AVG le virus se trouve dans C:\Windows\System32\Drivers mais je ne le trouve pas dedans.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

t'inquiète on va régler cela .... suis les indiquations que je te donne et ne fait rien d'autre !

fais ceci :

Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> clique droit / "exécuter entant qu'admin..." sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

IMPERATIF:
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# clique droit / "exécuter entant qu'admin..." sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0
Réponse 6 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Je n'arrive pas à l'exécuter en tant qu'admin, la case est grisée et inaccessible.
0
Réponse 7 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
tien ... bizard ... exécute normalement pour voir ....

0
Réponse 8 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
En exécution normale, il y a 3x "accès refusé" qui s'affiche puis le prog se ferme.
0
Réponse 9 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
laisse tomber UsbFix ... on va taper dans le vif direct ...

dis moi si tu peux faire ceci :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

0
Réponse 10 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
OK, voici le log:

############################## [ UsbFix V3.028 | Scan ]

# User : DaPi (Administrateurs) # PC-DAPI
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 12:10:45 | 4/06/2009

# Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
# Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,76 Go (187,88 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM # 1,47 Go (0 Mo free) [SWAT4] # CDFS
# F:\ # Disque amovible # 7,46 Go (3,09 Go free) # FAT32
# G:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\ATKFUSService.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\ASDR.exe
C:\PROGSC~1\AVG\avgwdsvc.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\PROGSC~1\AVG\avgemc.exe
C:\PROGSC~1\AVG\avgrsx.exe
C:\PROGSC~1\AVG\avgnsx.exe
C:\Windows\system32\WUDFHost.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\conime.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="http://search.conduit.com?SearchSource=10&ctid=CT1392740"
HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM_Run: HDAudDeck=C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
HKLM_Run: ASUSGamerOSD=C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
HKLM_Run: AVG8_TRAY=C:\PROGSC~1\AVG\avgtray.exe
HKLM_Run: Launch PC Probe II="C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: CmUsbSound=RunDll32 cmcnfgu.cpl,CMICtrlWnd
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: DAEMON Tools Pro Agent="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"

################## [ Fichiers # Dossiers infectieux ]

Found ! E:\autorun.inf
Found ! G:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{1bb5eaeb-1252-11de-b730-002354b7c473}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{6461fc63-0ce9-11de-b72f-002354b7c473}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

et encore merci pour le temps que tu m'accordes ;-)
0
Réponse 11 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
la suite :

1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# relance UsbFix .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

===================

2- refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse ....
0
Réponse 12 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Voici le log d'USBfix:

############################## [ UsbFix V3.028 | Cleaning ]

# User : DaPi (Administrateurs) # PC-DAPI
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 12:51:38 | 4/06/2009

# Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
# Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,76 Go (187,89 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 7,46 Go (3,09 Go free) # FAT32
# G:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\ATKFUSService.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ASDR.exe
C:\PROGSC~1\AVG\avgwdsvc.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\PROGSC~1\AVG\avgrsx.exe
C:\PROGSC~1\AVG\avgnsx.exe
C:\PROGSC~1\AVG\avgemc.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\ASUS\SmartDoctor\InitSD.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Not Deleted ! G:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\Svc\\ "AntiVirusOverride" # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{1bb5eaeb-1252-11de-b730-002354b7c473}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6461fc63-0ce9-11de-b72f-002354b7c473}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[21/01/2008 04:34|-rahs----|333203] - C:\bootmgr
[09/03/2009 18:40|-ra-s----|8192] - C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] - C:\config.sys
[?|?|?] - C:\hiberfil.sys
[04/04/2009 17:26|-rahs----|0] - C:\IO.SYS
[04/04/2009 17:26|-rahs----|0] - C:\MSDOS.SYS
[?|?|?] - C:\pagefile.sys
[09/03/2009 21:19|--ah-----|46] - C:\splash.idx
[04/06/2009 12:52|--a------|3598] - C:\UsbFix.txt
[05/06/2008 15:59|--ah-----|5312] - C:\version
[23/10/2007 08:45|-ra------|1336632] - F:\LaunchU3.exe
[06/05/2008 14:26|-r-------|309] - G:\autorun.inf
[23/10/2007 09:45|-r-------|1336632] - G:\LaunchU3.exe
[06/05/2008 14:11|-r-------|5600229] - G:\LaunchPad.zip

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.028 ! ]
0
Réponse 13 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Et celui de RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by DaPi at 2009-06-04 13:00:21
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 210 GB (44%) free of 477 GB
Total RAM: 3070 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:36, on 4/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\DaPi.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
0
Réponse 14 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

dans l'ordre :

1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

==========================

2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer le virus , sinon l'outil sera inutilisable -

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------

Ensuite :
clique droit / "executer entant qu'admin..." sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses

Poste le rapport Combofix pour analyse ...

0
Réponse 15 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Voilà le log:
ComboFix 09-06-03.04 - DaPi 04/06/2009 14:15.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.32.1036.18.3070.2127 [GMT 2:00]
Lancé depuis: c:\users\DaPi\Desktop\CFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\kungsfxjobouep.sys
c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf
c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
c:\windows\system32\kungsfnyvdehxx.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kungsfbcffmxqn

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-04 au 2009-06-04 ))))))))))))))))))))))))))))))))))))
.

2009-06-04 12:32 . 2009-06-04 12:45 -------- d-----w- c:\users\DaPi\AppData\Local\temp
2009-06-04 11:40 . 2009-06-04 11:40 -------- d-----w- c:\program files\CCleaner
2009-06-04 08:59 . 2009-06-04 10:53 -------- d-----w- C:\UsbFix
2009-06-04 08:03 . 2009-06-04 08:03 -------- d-----w- C:\rsit
2009-06-04 07:34 . 2009-06-04 07:34 -------- d-----w- c:\program files\Trend Micro
2009-05-29 12:48 . 2009-05-29 12:48 -------- d-----w- c:\users\DaPi\AppData\Roaming\Red Kawa
2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\Regensoft
2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\AviSynth 2.5
2009-05-29 12:27 . 2009-05-29 12:27 -------- d-----w- c:\program files\Red Kawa
2009-05-23 18:01 . 2009-05-23 18:01 -------- d-----w- c:\windows\SWAT 4
2009-05-21 00:31 . 2009-05-21 00:37 -------- d-----w- c:\users\DaPi\AppData\Roaming\Xfire
2009-05-21 00:31 . 2009-05-21 00:31 -------- d-----w- c:\program files\Xfire
2009-05-21 00:31 . 2009-05-21 00:31 -------- d-----w- c:\programdata\Xfire
2009-05-20 19:19 . 2009-05-20 19:19 -------- d-----w- c:\users\DaPi\AppData\Roaming\SpinTop Games
2009-05-16 04:05 . 2009-05-16 04:05 -------- d-----w- c:\program files\directx
2009-05-14 16:32 . 2009-05-14 16:37 -------- d-----w- c:\program files\RTL Photos
2009-05-12 22:03 . 2009-05-12 22:03 -------- d-----w- c:\programdata\SugarGames
2009-05-12 16:18 . 2009-05-12 16:18 -------- d-----w- c:\programdata\PlayfulAge
2009-05-12 16:14 . 2009-05-12 16:14 -------- d-----w- c:\program files\BigfishGames
2009-05-11 18:21 . 2009-05-22 18:24 -------- d-----w- c:\users\DaPi\AppData\Roaming\Alawar
2009-05-11 18:18 . 2009-05-12 17:46 -------- d-----w- c:\users\DaPi\AppData\Roaming\MagicBall4
2009-05-11 18:18 . 2009-05-11 18:21 -------- d-----w- c:\users\DaPi\AppData\Roaming\DreamDale
2009-05-11 17:49 . 2009-05-11 17:49 -------- d-----w- c:\program files\Yahoo Games
2009-05-11 17:42 . 2009-05-11 17:42 -------- d-----w- c:\windows\Magic Ball 4
2009-05-11 17:40 . 2009-05-11 17:40 -------- d-----w- c:\windows\Jenny's Fish Shop
2009-05-11 17:32 . 2009-05-11 17:32 -------- d-----w- c:\windows\Sunshine Acres
2009-05-10 12:30 . 2009-05-10 12:30 -------- d-----w- c:\users\DaPi\AppData\Local\Microsoft Game Studios

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-04 12:08 . 2008-01-21 07:23 679180 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-04 12:08 . 2008-01-21 07:23 128212 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-04 10:08 . 2009-03-09 23:20 -------- d-----w- c:\users\DaPi\AppData\Roaming\uTorrent
2009-06-03 07:17 . 2009-03-09 21:59 -------- d-----w- c:\programdata\avg8
2009-06-01 19:46 . 2009-03-11 09:00 3371383 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-29 12:19 . 2009-03-09 23:11 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-05-29 12:19 . 2009-03-09 23:11 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-05-26 11:20 . 2009-03-11 09:00 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-03-11 09:00 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-05-16 04:06 . 2009-03-09 18:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-14 16:33 . 2009-03-09 17:53 57696 ----a-w- c:\users\DaPi\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-13 14:02 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-05-03 19:58 . 2009-05-03 19:58 -------- d-----w- c:\programdata\Playrix Entertainment
2009-05-03 18:22 . 2009-05-03 18:22 -------- d-----w- c:\users\DaPi\AppData\Roaming\EleFun Games
2009-05-02 08:13 . 2009-03-09 21:59 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-05-02 08:13 . 2009-03-09 21:59 325896 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-05-02 08:13 . 2009-03-09 21:59 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-05-02 08:13 . 2009-03-09 21:59 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-04-29 21:20 . 2009-04-29 21:20 41808 ----a-w- c:\windows\system32\xfcodec.dll
2009-04-26 16:07 . 2009-04-26 16:06 -------- d-----w- c:\program files\TreeX
2009-04-24 17:11 . 2009-04-24 17:11 53248 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}\NewShortcut1_2ACDB570B2864AE589DA7B404F32D9A3.exe
2009-04-24 17:11 . 2009-04-24 17:11 40960 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{2ACDB570-B286-4AE5-89DA-7B404F32D9A3}\NewShortcut2_2ACDB570B2864AE589DA7B404F32D9A3.exe
2009-04-23 14:21 . 2009-04-23 14:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-04-22 17:17 . 2006-11-02 12:35 -------- d-----w- c:\program files\Microsoft Games
2009-04-20 17:36 . 2009-04-20 17:36 -------- d-----w- c:\program files\Microsoft Silverlight
2009-04-13 12:25 . 2009-04-13 12:25 -------- d-----w- c:\users\DaPi\AppData\Roaming\PlayFirst
2009-04-13 12:25 . 2009-04-13 12:25 -------- d-----w- c:\programdata\PlayFirst
2009-04-11 19:13 . 2009-04-04 16:38 -------- d-----w- c:\users\DaPi\AppData\Roaming\RobinsonCrusoe
2009-04-11 17:59 . 2009-04-03 20:23 -------- d-----w- c:\users\DaPi\AppData\Roaming\Anabel
2009-04-10 23:23 . 2009-04-10 23:23 -------- d-----w- c:\program files\C-Media USB Sound
2009-03-17 03:38 . 2009-04-15 07:21 13824 ----a-w- c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 07:21 24064 ----a-w- c:\windows\system32\amxread.dll
2009-03-16 18:00 . 2009-03-16 18:00 8854 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\UNINST_Uninstall_G_0CE1A6C0F3F749E68F9D2431F9827441_1.exe
2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut5_0CE1A6C0F3F749E68F9D2431F9827441.exe
2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut4_0CE1A6C0F3F749E68F9D2431F9827441.exe
2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut3_0CE1A6C0F3F749E68F9D2431F9827441.exe
2009-03-16 18:00 . 2009-03-16 18:00 65536 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\NewShortcut2_0CE1A6C0F3F749E68F9D2431F9827441.exe
2009-03-16 18:00 . 2009-03-16 18:00 10134 ----a-r- c:\users\DaPi\AppData\Roaming\Microsoft\Installer\{0CE1A6C0-F3F7-49E6-8F9D-2431F9827441}\ARPPRODUCTICON.exe
2009-03-16 17:42 . 2009-03-16 17:42 685816 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-03-12 21:35 . 2009-03-12 21:35 86016 ----a-w- c:\windows\system32\OpenAL32.dll
2009-03-12 21:35 . 2009-03-12 21:35 262144 ----a-w- c:\windows\system32\wrap_oal.dll
2009-03-11 22:11 . 2009-03-09 23:11 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-03-11 17:09 . 2009-03-11 17:09 92 ----a-w- c:\users\DaPi\AppData\Local\fusioncache.dat
2009-03-11 17:03 . 2009-03-09 23:11 22328 ----a-w- c:\users\DaPi\AppData\Roaming\PnkBstrK.sys
2009-03-11 17:03 . 2009-03-09 23:11 22328 ----a-w- c:\users\DaPi\AppData\Roaming\PnkBstrK.sys
2009-03-11 17:03 . 2009-03-11 17:03 669184 ----a-w- c:\windows\system32\pbsvc.exe
2009-03-09 21:10 . 2009-03-09 21:08 653965 ----a-w- c:\windows\P5KPL-1600-0403.zip
2009-03-09 20:13 . 2009-03-09 20:13 12800 ----a-w- c:\windows\system32\drivers\EIO.sys
2009-03-09 18:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-03-09 17:53 . 2009-03-09 17:52 680 ----a-w- c:\users\DaPi\AppData\Local\d3d9caps.dat
2009-03-08 11:34 . 2009-05-30 11:55 914944 ----a-w- c:\windows\system32\wininet.dll
2009-03-08 11:34 . 2009-05-30 11:55 43008 ----a-w- c:\windows\system32\licmgr10.dll
2009-03-08 11:33 . 2009-05-30 11:55 18944 ----a-w- c:\windows\system32\corpol.dll
2009-03-08 11:33 . 2009-05-30 11:55 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-03-08 11:33 . 2009-05-30 11:55 109568 ----a-w- c:\windows\system32\PDMSetup.exe
2009-03-08 11:33 . 2009-05-30 11:55 132608 ----a-w- c:\windows\system32\ieUnatt.exe
2009-03-08 11:33 . 2009-05-30 11:55 107520 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2009-03-08 11:33 . 2009-05-30 11:55 107008 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2009-03-08 11:33 . 2009-05-30 11:55 103936 ----a-w- c:\windows\system32\SetDepNx.exe
2009-03-08 11:33 . 2009-05-30 11:55 420352 ----a-w- c:\windows\system32\vbscript.dll
2009-03-08 11:32 . 2009-05-30 11:55 72704 ----a-w- c:\windows\system32\admparse.dll
2009-03-08 11:32 . 2009-05-30 11:55 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-03-08 11:32 . 2009-05-30 11:55 66560 ----a-w- c:\windows\system32\wextract.exe
2009-03-08 11:32 . 2009-05-30 11:55 169472 ----a-w- c:\windows\system32\iexpress.exe
2009-03-08 11:31 . 2009-05-30 11:55 34816 ----a-w- c:\windows\system32\imgutil.dll
2009-03-08 11:31 . 2009-05-30 11:55 48128 ----a-w- c:\windows\system32\mshtmler.dll
2009-03-08 11:31 . 2009-05-30 11:55 45568 ----a-w- c:\windows\system32\mshta.exe
2009-03-08 11:22 . 2009-05-30 11:55 156160 ----a-w- c:\windows\system32\msls31.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="c:\program files\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 136136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2008-05-21 15519744]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2008-05-28 380928]
"AVG8_TRAY"="c:\progsc~1\AVG\avgtray.exe" [2009-05-02 1947928]
"Launch PC Probe II"="c:\program files\ASUS\PC Probe II\Probe2.exe" [2008-05-23 2137600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{02832C92-D497-475C-A165-B67F84F25549}"= c:\prog sécurité\AVG\avgemc.exe:avgemc.exe
"{C3830EC1-7A3B-4B46-B30A-B4679BBCBCF6}"= c:\prog sécurité\AVG\avgupd.exe:avgupd.exe
"{F9B7C914-4E06-40E6-ADC7-54CD87B748F1}"= c:\prog sécurité\AVG\avgnsx.exe:avgnsx.exe
"TCP Query User{DE34EC82-66DC-4ACF-B1CD-1A0C2584E965}c:\\games\\games david\\moh\\mohpa.exe"= UDP:c:\games\games david\moh\mohpa.exe:Medal of Honor Pacific Assault(tm)
"UDP Query User{E12399C2-0359-46EF-8F24-D5248F71CF4C}c:\\games\\games david\\moh\\mohpa.exe"= TCP:c:\games\games david\moh\mohpa.exe:Medal of Honor Pacific Assault(tm)
"{656ADFC3-ED0C-456D-9214-2364385F82C8}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{903686F0-16A9-4563-BA53-21F3EAE828A4}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{78AAD3C7-2F9B-43FD-80C1-CB447BFD505E}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{796FA7D5-9187-41E1-B76E-7314F8340371}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{F9BFC8D3-E953-4000-BF53-4D772D75A0EB}"= UDP:c:\games\Games David\CoD4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{A5084FC7-2A83-4BF8-A862-9738E678DBF9}"= TCP:c:\games\Games David\CoD4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{A288596F-2177-4349-90F7-88B7821C92D3}c:\\users\\dapi\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\c6gp3g2n\\utorrent[1].exe"= UDP:c:\users\dapi\appdata\local\microsoft\windows\temporary internet files\content.ie5\c6gp3g2n\utorrent[1].exe:utorrent[1].exe
"UDP Query User{1DBFAAF7-212A-40A2-B1EB-9FACA347D858}c:\\users\\dapi\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\c6gp3g2n\\utorrent[1].exe"= TCP:c:\users\dapi\appdata\local\microsoft\windows\temporary internet files\content.ie5\c6gp3g2n\utorrent[1].exe:utorrent[1].exe
"TCP Query User{9969E922-1136-4C28-B577-3B587B3EE28B}c:\\users\\dapi\\documents\\utorrent.exe"= UDP:c:\users\dapi\documents\utorrent.exe:utorrent.exe
"UDP Query User{7BBE575A-B2BB-4751-AE3F-94BD69BA7C43}c:\\users\\dapi\\documents\\utorrent.exe"= TCP:c:\users\dapi\documents\utorrent.exe:utorrent.exe
"{797DE691-8C8D-4638-90AB-F162CB69D607}"= UDP:c:\games\Games David\MoH Airborne\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
"{3120285C-EA5E-4528-AB05-C8045AC5CA33}"= TCP:c:\games\Games David\MoH Airborne\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
"{B1690DA0-2AC4-4213-BF4A-F80BB01AC8EF}"= UDP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)
"{2EB660BD-0315-48FF-8987-37AE70095541}"= TCP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)
"{6A34F095-7C20-4AD6-BC81-C39FF4FFAB4A}"= UDP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)
"{D69E66E6-94E1-42DE-B98D-373806418FC9}"= TCP:c:\games\Games David\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)
"TCP Query User{3C85569B-44B1-4843-8EDC-68E00E681BD3}c:\\downloads\\utorrent.exe"= UDP:c:\downloads\utorrent.exe:utorrent
"UDP Query User{4DD8A0DB-5985-490D-B502-3FCD6F315FF1}c:\\downloads\\utorrent.exe"= TCP:c:\downloads\utorrent.exe:utorrent
"{1C1DD33A-5457-4DA4-BFCB-1BC5DB48969C}"= UDP:c:\games\Games David\Crisis\Bin32\Crysis.exe:Crysis_32
"{5B99575A-02AF-4E63-88E3-87F415528798}"= TCP:c:\games\Games David\Crisis\Bin32\Crysis.exe:Crysis_32
"{E0FAB7F0-C693-405C-B79B-8F04E360E537}"= UDP:c:\games\Games David\Crisis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{A508DA2A-9E00-472B-B0AF-F337F3466138}"= TCP:c:\games\Games David\Crisis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"TCP Query User{754D631F-205B-4949-B0BA-C8C737640A11}c:\\games\\games david\\x-plane 7\\x-system 710\\x-plane 710.exe"= UDP:c:\games\games david\x-plane 7\x-system 710\x-plane 710.exe:X-Plane 710
"UDP Query User{FEB783C1-6F3A-4030-93F8-0365C9F5A46A}c:\\games\\games david\\x-plane 7\\x-system 710\\x-plane 710.exe"= TCP:c:\games\games david\x-plane 7\x-system 710\x-plane 710.exe:X-Plane 710
"TCP Query User{4E685105-3D96-4FFB-AC0D-CB21E4F22EDA}c:\\games\\games david\\aa\\system\\armyops.exe"= UDP:c:\games\games david\aa\system\armyops.exe:ArmyOps
"UDP Query User{B53CC4B8-57B9-4069-8D7D-85E1098EC331}c:\\games\\games david\\aa\\system\\armyops.exe"= TCP:c:\games\games david\aa\system\armyops.exe:ArmyOps
"TCP Query User{76DFD2D2-8ACE-4F69-A070-5066041CBECD}c:\\games\\games david\\ghiii\\gh3.exe"= UDP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
"UDP Query User{4DF6AE04-E1AB-4A54-A1B8-DACBC69A441C}c:\\games\\games david\\ghiii\\gh3.exe"= TCP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
"TCP Query User{1FD50D3E-2FE5-4AA2-850C-79581FC7C93D}c:\\downloads\\isos games\\left.4.dead.full-rip.skullptura\\left.4.dead.full-rip.skullptura\\left 4 dead\\left4dead.exe"= UDP:c:\downloads\isos games\left.4.dead.full-rip.skullptura\left.4.dead.full-rip.skullptura\left 4 dead\left4dead.exe:left4dead
"UDP Query User{8D357644-BABD-45DE-B263-F006B35B814D}c:\\downloads\\isos games\\left.4.dead.full-rip.skullptura\\left.4.dead.full-rip.skullptura\\left 4 dead\\left4dead.exe"= TCP:c:\downloads\isos games\left.4.dead.full-rip.skullptura\left.4.dead.full-rip.skullptura\left 4 dead\left4dead.exe:left4dead
"TCP Query User{1BF133A5-4175-4155-A2D4-61D824839D82}c:\\program files\\asus\\gamerosd\\sbs.exe"= UDP:c:\program files\asus\gamerosd\sbs.exe:ASUS SBS Application
"UDP Query User{4B21F7CB-9BB6-40D1-8F98-459581932830}c:\\program files\\asus\\gamerosd\\sbs.exe"= TCP:c:\program files\asus\gamerosd\sbs.exe:ASUS SBS Application
"TCP Query User{F6518F80-AC69-4140-BF4D-97FB4E81BE5B}c:\\games\\games david\\ghiii\\gh3.exe"= UDP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
"UDP Query User{0456BD38-4CA0-4020-96E7-77011A659D90}c:\\games\\games david\\ghiii\\gh3.exe"= TCP:c:\games\games david\ghiii\gh3.exe:Guitar Hero III
"TCP Query User{0C720669-057A-47E5-AA28-5BAD075078E2}c:\\users\\dapi\\games\\tom clancy's h.a.w.x\\hawx.exe"= UDP:c:\users\dapi\games\tom clancy's h.a.w.x\hawx.exe:hawx.exe
"UDP Query User{19256149-F87A-44D3-8215-F14DF89808D3}c:\\users\\dapi\\games\\tom clancy's h.a.w.x\\hawx.exe"= TCP:c:\users\dapi\games\tom clancy's h.a.w.x\hawx.exe:hawx.exe
"TCP Query User{44E5872E-4306-4449-A02E-95EE6F0F6366}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
"UDP Query User{E24B49E4-18DF-4A15-8DF2-E362FCE7A127}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
"{AFD15C8A-85EE-42CA-8284-10FCEE09E0FA}"= UDP:c:\games\Games David\Far Cry 2\bin\FarCry2.exe:Far Cry 2
"{4518F483-D2F5-463E-B31D-E86AEF8FF87F}"= TCP:c:\games\Games David\Far Cry 2\bin\FarCry2.exe:Far Cry 2
"{FEDF0293-1A12-4C18-8E59-99376A9B93CF}"= UDP:c:\games\Games David\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
"{236F9E9C-D9DA-40BD-B818-DAE832544A3D}"= TCP:c:\games\Games David\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
"{67611340-2355-449E-830E-D056BC3ECF50}"= UDP:c:\games\Games David\Far Cry 2\bin\FC2Editor.exe:Editeur
"{28F30303-727B-44E1-9202-ECF458263E6F}"= TCP:c:\games\Games David\Far Cry 2\bin\FC2Editor.exe:Editeur
"TCP Query User{58941B9F-5C5E-4434-AF1D-4D0A8382214F}c:\\games\\games david\\gh aerosmith\\guitar hero aerosmith.exe"= UDP:c:\games\games david\gh aerosmith\guitar hero aerosmith.exe:Guitar Hero: Aerosmith
"UDP Query User{7DC91478-C449-4608-A4E0-8C7202ECBBD6}c:\\games\\games david\\gh aerosmith\\guitar hero aerosmith.exe"= TCP:c:\games\games david\gh aerosmith\guitar hero aerosmith.exe:Guitar Hero: Aerosmith
"TCP Query User{34583A8E-7F33-49CF-B20E-5881273A870A}c:\\program files\\xfire\\xfire.exe"= UDP:c:\program files\xfire\xfire.exe:Xfire
"UDP Query User{4D10AFB8-5242-4B64-B047-1591F6C88611}c:\\program files\\xfire\\xfire.exe"= TCP:c:\program files\xfire\xfire.exe:Xfire

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [9/03/2009 23:59 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [9/03/2009 23:59 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progsc~1\AVG\avgemc.exe [9/03/2009 23:59 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progsc~1\AVG\avgwdsvc.exe [9/03/2009 23:59 298776]
R2 RtNdPt60;Realtek NDIS Protocol Driver;c:\windows\System32\drivers\RtNdPt60.sys [9/03/2009 21:33 27648]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [9/03/2009 20:53 269824]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [11/03/2009 11:00 40160]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-06-04 c:\windows\Tasks\RtlNICDiagVistaStart.job
- c:\program files\Realtek\RTNICDiag\RTNICDiag.exe [2009-03-09 16:23]

2009-06-04 c:\windows\Tasks\User_Feed_Synchronization-{5BD0B874-0432-46D8-B9EE-552CC3FD9326}.job
- c:\windows\system32\msfeedssync.exe [2009-05-30 11:31]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-CmUsbSound - cmcnfgu.cpl
SafeBoot-procexp90.Sys

.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\DaPi\AppData\Roaming\Mozilla\Firefox\Profiles\as14w2s8.default\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-04 14:45
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\VDeck\VDeck.exe -r???????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-170947012-2284591387-1473934823-1000\Software\SecuROM\License information*]
"datasecu"=hex:01,51,d1,39,f3,11,69,16,e7,2d,d6,2d,35,bb,9e,b6,2f,28,db,68,c5,
bb,1c,05,e9,57,04,73,3c,e8,c9,d8,03,4b,c0,a5,f7,c9,23,6f,ea,c8,53,61,3c,aa,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\ATKFUSService.exe
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\ASDR.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\PnkBstrB.exe
c:\progsc~1\AVG\avgrsx.exe
c:\progsc~1\AVG\avgnsx.exe
c:\windows\System32\WUDFHost.exe
c:\prog sécurité\AVG\avgcsrvx.exe
c:\program files\ASUS\SmartDoctor\SmartDoctor.exe
c:\program files\ASUS\GamerOSD\ATKFastUserSwitching.exe
c:\program files\ASUS\AASP\1.00.64\aaCenter.exe
c:\windows\System32\conime.exe
c:\prog sécurité\AVG\avgtray.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Heure de fin: 2009-06-04 14:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-04 12:46

Avant-CF: 220.826.574.848 octets libres
Après-CF: 220.629.684.224 octets libres

271 --- E O F --- 2009-06-01 13:30
0
Réponse 16 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
D'après le log , le virus a été éradiqué, en faisant un scan avec AVG, j'ai trouvé la source, c'est un jeu gratuit que j'avais téléchargé pour mon fils.

J'attends ta confirmation sKe69 mais je te dis déjà un grand merci pour ton aide, content de voir qu'il y a encore des gens comme toi pour rendre service dans ce monde ;-)

Une dernière question, quels sont les risques avec ce genre de virus qui est un scanneur de port je pense, dois-je changer tous mes mots de passe par sécurité?

Bonne fin de journée à toi :-)
0
Réponse 17 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

on n'a pas finit ! Pas de chose encore à voir ! .... ^^'

la suite :

1- refais un coup de CCleaner ( registre compris ).

=======================

2- Malwarebytes devrait de nouveau fonctionner , on va s'en servir :

mets le à jour .

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport RSIT pour analyse et attends la suite ...

0
Réponse 18 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Voici le rapport de Malware:
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2228
Windows 6.0.6001 Service Pack 1

4/06/2009 17:02:31
mbam-log-2009-06-04 (17-02-30).txt

Type de recherche: Examen rapide
Eléments examinés: 68503
Temps écoulé: 14 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et celui de RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by DaPi at 2009-06-04 17:03:10
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 211 GB (44%) free of 477 GB
Total RAM: 3070 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:56, on 4/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Realtek\RTNICDiag\RTNICDiag.exe
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Prog Sécurité\AVG\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Prog Sécurité\AVG\avgui.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Prog Sécurité\AVG\avgscanx.exe
C:\Prog Sécurité\AVG\avgcsrvx.exe
C:\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\DaPi.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Prog Sécurité\AVG\avgssie.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGSC~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Prog Sécurité\AVG\avgpp.dll
O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGSC~1\AVG\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
0
Réponse 19 / 39
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki .... c'est clean ...

fais ceci maintenant :

Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!

* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

0
Réponse 20 / 39
Blackangel1974 Messages postés 38 Statut Membre 1
 
Voici:

Rapport GenProc 2.572 [1]
@ jeu. 04/06/2009 à 17:34:57
@ Windows Vista Service Pack 1
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

~~ "C:\Windows\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\Windows\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** DaPi *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

# Etape 2/

Lance Toolbar-S&D situé sur le Bureau.
Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport TB.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Arguments de la procédure ~~

# Détections [1] GenProc 2.572 jeu. 04/06/2009 à 17:34:36
Toolbar:le jeu. 04/06/2009 à 17:34:38 "C:\Program Files\GamesBar"
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses