Cheval de troie dans firefox.exe et ie.exeRésolu/Fermé

Question

Bonjour,
Je viens d'avoir un cheval de troie.
En effet, dès que je lance firefox ou internet explorer, avg m'indique la présence d'un cheval de troie 
nom du fichier : C:\Windows\System32\MSIVXofjwjtwvutwlqdqyhdctobkweiuoytsq.dll
Nom de la menace : Cheval de troie : Agent2.LFN
détecter à l'ouverture

Nom de processus : D:\Fichiers programmes\Mozilla Firefox\firefox.exe

même menace quand je lance Internet Explorer.

Je ne peux lancer spy-bot, il ne se démarre pas lorsque le veux le lancer, pourtant il apparait en systray
J'ai tenté de le virer avec smitfraudfix, impossible.

J'ai tenté avec malwarebyte's anti-malware.
Il m'a bien indiqué avoir supprimé un trojan MSIV mais, au redémarrage, spy bot me demande la modif de la base de registre.
J'accepte, et le cheval de troie est toujours là.

J'ai récupéré Hijackthis et obligé de le renommer, sinon, il marhe pas.
Seulement je ne sais que faire du rapport d'erreurs et quelles lignes supprimées.

Pouvez vous m'aider s'il vous plait ??

Bien à vous

sKe69 · Answer

Salut,

on va s'occuper de cela ...


fais ceci stp :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ... 
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

framel2324 · Answer

Salut Ske69,
tout d'abord, merci pour ton aide plus que rapide.
Je viens de faire les analyses.
Voici le post du log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Franck at 2009-06-23 16:08:54
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 25 GB (50%) free of 50 GB
Total RAM: 3326 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:03, on 23/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
D:\Fichiers programmes\AVG\avgtray.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\Fichiers programmes\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
D:\Logiciels\RSIT.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\Franck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\fichiers programmes\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Fichiers programmes\AVG\avgssie.dll
O2 - BHO: IEHelperObject - {4DC16316-5372-4476-9CA5-88B2786B838F} - D:\Fichiers programmes\humyo.fr Application\HrfsDownloader.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Fichiers programmes\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AVG8_TRAY] D:\FICHIE~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Fichiers programmes\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Save Image To humyo.fr - D:\Fichiers programmes\humyo.fr Application\download.html
O8 - Extra context menu item: Save Target To humyo.fr - D:\Fichiers programmes\humyo.fr Application\download.html
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FICHIE~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Fichiers programmes\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Fichiers programmes\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Fichiers programmes\AVG\avgpp.dll
O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\FICHIE~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\FICHIE~1\AVG\avgwdsvc.exe
O23 - Service: DeviceVM Meta Data Export Service (DvmMDES) - DeviceVM - D:\ASUS.SYS\config\DVMExportService.exe
O23 - Service: humyo.com - humyo.com Ltd. - D:\Fichiers programmes\humyo.fr Application\hrfscore.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

framel2324 · Answer

voici l'info.txt

info.txt logfile of random's system information tool 1.06 2009-06-23 16:09:04

======Uninstall list======

-->D:\Fichiers programmes\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Age of Empires III-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97} 
Architecture 3D - 2.1.3 (version gratuite)-->"D:\Fichiers programmes\Architecture 3D - 2 (version gratuite)\unins000.exe"
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver-->"C:\Program Files\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\Setup.exe" -runfromtemp -l0x040c -removeonly
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
AVG Free 8.5-->D:\Fichiers programmes\AVG\setup.exe /UNINSTALL
bwin Poker-->"C:\bwinPoker\unins000.exe"
Canon ScanGear Toolbox 3.0-->C:\Windows\IsUn040c.exe -f"d:\fichiers programmes\Scangear Canon\Uninst.isu" -c"d:\fichiers programmes\Scangear Canon\uninst.dll"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Express Gate-->MsiExec.exe /X{99AD9D6D-A456-49EE-8360-F22EE7AA1272}
Free YouTube to Mp3 Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
Google SketchUp 6-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x40c  -removeonly
Google SketchUp 6-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}\setup.exe" -l0x40c  -removeonly
GrabIt 1.7.2 Beta 3 (build 996)-->"D:\Fichiers programmes\GrabIt\unins000.exe"
GRID-->"C:\Program Files\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x040c -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
humyo.fr Application-->"D:\Fichiers programmes\humyo.fr Application\unins000.exe"
ISO Recorder-->MsiExec.exe /I{1235083F-52F9-44CC-9DF5-F9B7802BB9B7}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
K-Lite Mega Codec Pack 4.2.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LastChaos-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{99A37AC7-E724-4621-B167-500B5A52B69C}\setup.exe" -l0x9  -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
marvell 61xx-->D:\Fichiers programmes\Marvell61xx\uninst-61xx.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Age of Empires II-->"D:\Fichiers programmes\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Outlook 2007 Help  (KB963677)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.6)-->D:\Fichiers programmes\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
Navman SmartST Desktop for iCN530-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{78DAD7A3-EA94-456A-8872-41FED394B87E}\expand.exe" -l0x40c  -removeonly
Need for Speed™ Undercover-->MsiExec.exe /X{E6D22FE1-AB5F-42CA-9480-6F70B96DDD88}
Nero Suite-->C:\Program Files\Common Files\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
NewsLeecher v3.9 Final-->"D:\Fichiers programmes\NewsLeecher\unins000.exe"
O&O Defrag Professional Edition-->MsiExec.exe /I{53480330-E1D1-41CA-B8F8-7F78644F7F50}
OpenAL-->"C:\Program Files\OpenAL\OalinstGridRelease.exe" /U
PlayFLV-->"C:\Program Files\FLVCodec\uninstall.exe"
QuickPar 0.9-->D:\Fichiers programmes\QuickPar\uninst.exe
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe"  -removeonly
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
SpeedSim-->D:\Fichiers programmes\SpeedSim\uninst.exe
Spybot - Search & Destroy-->"D:\Fichiers programmes\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
SuperCopier2-->"D:\Fichiers programmes\SuperCopier2\SC2Uninst.exe"
Thrustmaster Force Feedback Driver-->C:\Program Files\InstallShield Installation Information\{8F5A0981-5CDC-41D0-BCA2-AD3B777FC358}\setup.exe -runfromtemp -l0x040c -removeonly
Tom Clancy's H.A.W.X-->"C:\Program Files\InstallShield Installation Information\{6E36A172-06FB-4BC8-B7FC-D30D219E6776}\setup.exe" -runfromtemp -l0x040c -removeonly
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 (KB969907)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {74F98B24-AFBD-4800-9BD6-87D349B5C462}
Update for Outlook 2007 Junk Email Filter (kb970012)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {DC4A962B-9EC2-469C-BC9C-87312ADAEE81}
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
Warhammer 40,000: Dawn Of War - Gold Edition-->MsiExec.exe /X{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}
Warhammer 40,000: Dawn of War II-->"D:\Fichiers programmes\Steam\steam.exe" steam://uninstall/15620
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
World of Warcraft FREE Trial-->MsiExec.exe /X{02EBDBB9-4600-41D3-B566-40CB861511D2}
Xtreme-G Catalyst 8.12 Vista 32-64bit-->"D:\Fichiers programmes\Xtreme-G Catalyst 8.12 Vista 32-64bit\unins000.exe"
Zylom Games Player Plugin-->"C:\Program Files\Zylom Games\UninstallPlugin.exe" --uninstall

======Security center information======

AV: AVG Anti-Virus Free
AS: AVG Anti-Virus Free (disabled)
AS: Windows Defender

======System event log======

Computer Name: PC-Maison
Event Code: 7000
Message: Le service MBAMSwissArmy n'a pas pu démarrer en raison de l'erreur : 
Le texte du message associé au numéro 0xMBAMSwissArmy est introuvable dans le fichier de messages pour Le texte du message associé au numéro 0x%1 est introuvable dans le fichier de messages pour %2..
Record Number: 44849
Source Name: Service Control Manager
Time Written: 20090623134718.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 44874
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090623140508.576992-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7023
Message: Le service Service SSTP (Secure Socket Tunneling Protocol) s'est arrêté avec l'erreur : 
Le serveur RPC n'est pas disponible.
Record Number: 44884
Source Name: Service Control Manager
Time Written: 20090623140529.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Service SSTP (Secure Socket Tunneling Protocol) qui n'a pas pu démarrer en raison de l'erreur : 
Le serveur RPC n'est pas disponible.
Record Number: 44885
Source Name: Service Control Manager
Time Written: 20090623140529.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : 
i8042prt
Record Number: 44947
Source Name: Service Control Manager
Time Written: 20090623140529.000000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-Maison
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7399
Source Name: Microsoft-Windows-WMI
Time Written: 20090623134307.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 1002
Message: Le programme mbam2.exe version 1.38.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 1780 Heure de début : 01c9f4091872b381 Heure de fin : 60000
Record Number: 7423
Source Name: Application Hang
Time Written: 20090623135421.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 20 user registry handles leaked from \Registry\User\S-1-5-21-1077318001-2683882941-394011359-1000:
Process 1060 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 6016 (\Device\HarddiskVolume1\Program Files\Malwarebytes' Anti-Malware\mbam2.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates	rust
Process 6016 (\Device\HarddiskVolume1\Program Files\Malwarebytes' Anti-Malware\mbam2.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\My
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\My
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\CA
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\Root
Process 4180 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\SmartCardRoot

Record Number: 7426
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090623140353.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-Maison
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 3 user registry handles leaked from \Registry\User\S-1-5-21-1077318001-2683882941-394011359-1000_Classes:
Process 1060 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000_CLASSES
Process 6016 (\Device\HarddiskVolume1\Program Files\Malwarebytes' Anti-Malware\mbam2.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000_CLASSES
Process 6016 (\Device\HarddiskVolume1\Program Files\Malwarebytes' Anti-Malware\mbam2.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000_CLASSES

Record Number: 7427
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090623140353.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-Maison
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7450
Source Name: Microsoft-Windows-WMI
Time Written: 20090623140529.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-Maison
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers	cpip.sys	
Record Number: 11244
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623140902.460801-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-Maison
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers	cpip.sys	
Record Number: 11245
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623140902.460801-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-Maison
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers	cpip.sys	
Record Number: 11246
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623140902.476401-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-Maison
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers	cpip.sys	
Record Number: 11247
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623140902.492001-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-Maison
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\Windows\System32\drivers	cpip.sys	
Record Number: 11248
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623140902.507601-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------


En attente de tes analyses.
Encore merci.

sKe69 · Answer

Bien ...


infections multiples .

N'entreprends rien avec le PC sans mon autorisations et suis à la lettre les procédures qui vont suivre ... si tu as un quelquonque prb n' hésite pas à m'en faire part ( évite les prise de décision hasardeuses ) .



On commence ....dans l'ordre :



1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) : 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) . 
/!\ Mais attention : 
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) 
-> il faudra alors les accepter toutes sans exeptions ! 

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance . 


====================

2- tu as de vieux outils osbeletes qui trainent , on va repartir sur des bases sainnes avec des outils à jours :


Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"
 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long et donné l'impression que l'outil à planté , surtout avec Vista ). 

*Clique sur Suppression pour finaliser. 

*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

framel2324 · Answer

Je me rends compte que j'ai beaucoup de prg qui ne marchent plus.
Par exemple, O&O defrag
Lorsque je veux analyser ou défragmenter, il commence et une seconde plus tard, il marque 100% et 0.00% fragmentés.
C'est vraiment pénible ces virus.........

framel2324 · Answer

Ok
Voilà le souci :
je ne peux ouvrir spybot.
Quand je fais un clic droit et "ouvrir", rien ne se passe, donc je peux pas faire quoique ce soit :(

wapass · Answer

jai le mm pb ke lauter du forum : cheval de troie , avast m'alerte plusieur fois par jour , j'au beau le suprimer rien , g lesraport demander , je peux poster le 1er ? 
 merci d'avance..

sKe69 · Answer

bien ... évite de toucher au applications pour le moment ... merci ...


Pas étonnant pour Spybot ... laisse faire pour le moment ... on referas cette manipe en temps voulu ...


passe à Toolscleaner stp ....

framel2324 · Answer

voilà le rapport :

[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Mélanie\Desktop\HijackThis.lnk: trouvé !

---------------------------------
--> Suppression: 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Mélanie\Desktop\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !

sKe69 · Answer

Bien ...


si tu as Combofix sur ton PC , supprime le ! 



puis fait ceci pour commencer :


Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> clique droit  l' .exe / choisis "executer entant qu'admin ..." pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit /  "executer entant qu'admin ..." sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

framel2324 · Answer

############################## [ UsbFix V3.033 ]

# User : Franck (Administrateurs) # PC-MAISON
# Update on 15/06/09 by C_XX
# Start at: 16:49:26 | 23/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 48,83 Go (24,34 Go free) # NTFS
# D:\ # Disque fixe local # 416,93 Go (308,06 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 994,95 Mo (460,12 Mo free) # FAT

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
D:\FICHIE~1\AVG\avgwdsvc.exe
D:\ASUS.SYS\config\DVMExportService.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\Dwm.exe
D:\FICHIE~1\AVG\avgrsx.exe
D:\FICHIE~1\AVG\avgemc.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
D:\FICHIE~1\AVG\avgnsx.exe
C:\Windows\system32	askeng.exe
D:\Fichiers programmes\AVG\avgcsrvx.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
D:\Fichiers programmes\AVG\avgtray.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\Fichiers programmes\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
D:\Fichiers programmes\humyo.fr Application\hrfscore.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main:   "Local Page"="C:\windows\system32\blank.htm" 
HKCU_Main:   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
HKLM_logon:  "Userinit"="C:\Windows\system32\userinit.exe," 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 

HKLM_Run:    Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide 
HKLM_Run:    RtHDVCpl=RtHDVCpl.exe 
HKLM_Run:    AVG8_TRAY=D:\FICHIE~1\AVG\avgtray.exe 
HKLM_Run:    NeroFilterCheck=C:\Windows\system32\NeroCheck.exe 
HKLM_Run:    OODefragTray=C:\Windows\system32\oodtray.exe 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    Windows Mobile Device Center=%windir%\WindowsMobile\wmdc.exe 
HKLM_Run:    StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
HKCU_Run:    Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun  
HKCU_Run:    SpybotSD TeaTimer=D:\Fichiers programmes\Spybot - Search & Destroy\TeaTimer.exe  
HKCU_Run:    ehTray.exe=C:\Windows\ehome\ehTray.exe  
HKCU_Run:    DAEMON Tools Lite="D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe" -autorun  


################## [ Fichiers # Dossiers infectieux ]

G:\autorun.inf # -> fichier appelé  : "G:\"RECYCLER\S-8-8-52-100027054-100028226-100029267-2949.com g:\"" ( Absent ! )  
Présent ! G:\autorun.inf  
Présent ! G:ecycler\S-8-8-52-100027054-100028226-100029267-2949.com  

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{64c03301-276e-11de-839a-002354357ae9}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{b8156592-1c3f-11de-bb95-002354357ae9}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{e00c26a3-fcdb-11dd-aa22-002354357ae9}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{e00c26a3-fcdb-11dd-aa22-002354357ae9}\Shell\open\Command  

################## [ ! Fin du rapport # UsbFix V3.033 ! ]

sKe69 · Answer

bien ...



dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Relance UsbFix "entant qu'admin ..." .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


========================


2- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


==========================


3- refais ceci ( car supprimé par Toolscleaner tout à l'heure ) :


Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ...


> Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence > accepte ! 


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran) et attends lasuite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

framel2324 · Answer

rapport de usbfix : 


############################## [ UsbFix V3.033 ]

# User : Franck (Administrateurs) # PC-MAISON
# Update on 15/06/09 by C_XX
# Start at: 17:15:37 | 23/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 48,83 Go (24,34 Go free) # NTFS
# D:\ # Disque fixe local # 416,93 Go (308,05 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 994,95 Mo (460,12 Mo free) # FAT

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
D:\FICHIE~1\AVG\avgwdsvc.exe
D:\ASUS.SYS\config\DVMExportService.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
D:\FICHIE~1\AVG\avgemc.exe
D:\FICHIE~1\AVG\avgrsx.exe
D:\FICHIE~1\AVG\avgnsx.exe
D:\Fichiers programmes\AVG\avgcsrvx.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32	askeng.exe

################## [ Fichiers # Dossiers infectieux ]

G:\autorun.inf # -> fichier appelé : "G:\"RECYCLER\S-8-8-52-100027054-100028226-100029267-2949.com g:\"" ( absent ! )  
Supprimé ! G:\autorun.inf    
Supprimé ! G:ecycler\S-8-8-52-100027054-100028226-100029267-2949.com    

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\{64c03301-276e-11de-839a-002354357ae9}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b8156592-1c3f-11de-bb95-002354357ae9}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e00c26a3-fcdb-11dd-aa22-002354357ae9}\Shell\AutoRun\Command  

################## [ Listing des fichiers présent ]

[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[21/01/2008 04:24|-rahs----|333203] - C:\bootmgr
[07/02/2009 15:50|-ra-s----|8192] - C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] - C:\config.sys
[06/04/2009 11:02|--a------|39162] - C:\DeviceLink.log
[10/02/2009 16:50|-rahs----|171136] - C:\grldr
[?|?|?] - C:\hiberfil.sys
[07/02/2009 16:42|-rahs----|0] - C:\IO.SYS
[07/02/2009 16:42|-rahs----|0] - C:\MSDOS.SYS
[23/06/2009 17:15|--a------|1203458] - C:
tservicelogOutlook.txt
[?|?|?] - C:\pagefile.sys
[23/06/2009 14:15|--a------|1809] - C:apport.txt
[23/06/2009 16:40|--a------|1374] - C:\TCleaner.txt
[23/06/2009 17:16|--a------|3705] - C:\UsbFix.txt
[07/02/2009 16:10|--ah-----|57] - D:\splash.idx
[16/12/2008 18:20|--ah-----|5552] - D:\version
[18/05/2009 21:11|--a------|9799104] - G:\Tornado.mp3
[19/05/2009 23:49|--a------|10139593] - G:\Canon Rock Final.mp3
[09/05/2009 19:47|--a------|2871379] - G:\Iron Maiden - Rhythm Of The Beast.mp3
[10/05/2009 17:24|--a------|2062881] - G:\Ladytron - Ghosts.mp3
[20/05/2009 06:28|--a------|8413897] - G:\C'est profond ‡a.mp3
[19/05/2009 23:35|--a------|11343814] - G:\Dark Paradise.mp3
[19/05/2009 23:54|--a------|9094339] - G:\Monophonic.mp3
[19/05/2009 23:40|--a------|10707136] - G:\My Life.mp3
[19/05/2009 23:58|--a------|7571392] - G:\Tectony.mp3
[18/05/2009 21:50|--a------|10071753] - G:\The Conquistador.mp3
[22/06/2009 23:34|--a------|9810116] - G:\Exotic Rain.mp3
[19/05/2009 23:44|--a------|7082953] - G:\C'est la CRISE !.mp3
[18/06/2009 17:21|--a------|38992048] - G:\GoogleSketchUpWFR.exe
[06/06/2009 21:35|--a------|22016] - G:\2009_Attestation_reprise_activite_apres_conge_maternite_0-3.pdf
[06/06/2009 21:54|--a------|308788] - G:\2009_formulaire_0-3_ans.pdf
[20/06/2009 20:52|--a------|390732] - G:\maison 1.lcproj
[19/06/2009 15:04|--a------|374070434] - G:\3d_architecture_2.exe
[19/06/2009 11:40|--a------|526848] - G:\ArchiFacile.exe

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.033 ! ]

framel2324 · Answer

log de rsit :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Franck at 2009-06-23 17:21:55
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 25 GB (51%) free of 50 GB
Total RAM: 3326 MB (73% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows	asks\User_Feed_Synchronization-{CDA1582D-F119-4849-AA96-2B59D30CAEA7}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - d:\fichiers programmes\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - D:\Fichiers programmes\AVG\avgssie.dll [2009-05-06 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4DC16316-5372-4476-9CA5-88B2786B838F}]
IEHelperObject Class - D:\Fichiers programmes\humyo.fr Application\HrfsDownloader.dll [2009-03-20 479288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - D:\Fichiers programmes\Spybot - Search & Destroy\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-08-29 6281760]
"AVG8_TRAY"=D:\FICHIE~1\AVG\avgtray.exe [2009-05-06 1947928]
"NeroFilterCheck"=C:\Windows\system32\NeroCheck.exe [2006-01-12 155648]
"OODefragTray"=C:\Windows\system32\oodtray.exe [2007-06-29 2512128]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"Windows Mobile Device Center"=C:\Windows\WindowsMobile\wmdc.exe [2007-05-31 648072]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"SpybotSD TeaTimer"=D:\Fichiers programmes\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"DAEMON Tools Lite"=D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\Windows\System32\avgrsstx.dll"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoFind"=0
"NoFolderOptions"=0
"NoRun"=0
"NoDrives"=0
"NoDriveAutoRun"=FFFFFFFF
"HonorAutoRunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 2 months======

2009-06-23 17:21:55 ----D---- C:sit
2009-06-23 17:18:19 ----D---- C:\Program Files\CCleaner
2009-06-23 17:16:10 ----RASHD---- C:\autorun.inf
2009-06-23 17:15:35 ----A---- C:\UsbFix.txt
2009-06-23 16:48:17 ----D---- C:\UsbFix
2009-06-23 16:36:55 ----A---- C:\TCleaner.txt
2009-06-23 15:23:32 ----SD---- C:\ComboFix2
2009-06-23 15:15:15 ----D---- C:\Windows\ERDNT
2009-06-23 15:08:28 ----D---- C:\Users\Franck\AppData\Roaming\Malwarebytes
2009-06-23 15:06:35 ----D---- C:\ProgramData\Malwarebytes
2009-06-23 15:06:35 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-23 14:30:30 ----D---- C:\Windows\Minidump
2009-06-23 14:29:12 ----D---- C:\Program Files\Trend Micro
2009-06-23 13:50:34 ----A---- C:\Users\Franck\AppData\Roaming\SetValue.bat
2009-06-23 13:50:34 ----A---- C:\Users\Franck\AppData\Roaming\GetValue.vbs
2009-06-23 13:49:05 ----A---- C:\Windows\system32	mp.txt
2009-06-23 13:49:03 ----A---- C:apport.txt
2009-06-22 17:24:03 ----D---- C:\bwinPoker
2009-06-19 15:36:47 ----D---- C:\Users\Franck\AppData\Roaming\LiveCAD2
2009-06-19 11:41:06 ----D---- C:\Users\Franck\AppData\Roaming\ArchiFacile
2009-06-13 17:39:34 ----A---- C:\Windows\system32\unrar.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\yv12vfw.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\qt-dx331.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\dpl100.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\divx.dll
2009-06-13 17:39:32 ----D---- C:\ProgramData\Real
2009-06-13 17:39:32 ----D---- C:\Program Files\K-Lite Codec Pack
2009-06-13 17:22:47 ----D---- C:\Program Files\FLVCodec
2009-06-13 14:26:22 ----D---- C:\Program Files\Common Files\Windows Live
2009-06-13 09:14:01 ----A---- C:\Windows\system32\psisdecd.dll
2009-06-13 09:14:01 ----A---- C:\Windows\system32\EncDec.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\urlmon.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\mshtml.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\ieframe.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\wininet.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\occache.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\mstime.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-12 12:54:10 ----A---- C:\Windows\system32\iertutil.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieencode.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-12 12:53:08 ----A---- C:\Windows\system32\localspl.dll
2009-06-12 12:53:06 ----A---- C:\Windows\system32pcrt4.dll
2009-05-23 20:54:32 ----RA---- C:\Windows\system32	mpD173.tmp
2009-05-23 20:53:15 ----RA---- C:\Windows\system32	mpD172.tmp
2009-05-18 20:43:26 ----D---- C:\ProgramData\Codemasters
2009-05-17 23:57:49 ----A---- C:\Windows\system32\msvcr70.dll
2009-05-17 23:57:45 ----D---- C:\Program Files\DVDVideoSoft
2009-05-17 23:57:45 ----D---- C:\Program Files\Common Files\DVDVideoSoft
2009-05-17 23:35:14 ----D---- C:\Program Files\Audacity
2009-05-17 21:14:53 ----RA---- C:\Windows\system32	mpCEB0.tmp
2009-05-17 21:14:53 ----D---- C:\Program Files\OpenAL
2009-05-17 21:14:53 ----A---- C:\Windows\system32\wrap_oal.dll
2009-05-17 21:14:53 ----A---- C:\Windows\system32\OpenAL32.dll
2009-05-17 21:13:27 ----RA---- C:\Windows\system32	mpCE90.tmp
2009-05-05 16:29:52 ----A---- C:\Windows\system32\PnkBstrA.exe
2009-05-05 16:29:39 ----A---- C:\Windows\system32\PnkBstrB.exe
2009-05-05 16:03:33 ----D---- C:\Users\Franck\AppData\Roaming\Leadertech
2009-04-25 11:15:29 ----A---- C:\Windows\system32\D3DX9_40.dll
2009-04-25 11:15:29 ----A---- C:\Windows\system32\d3dx10_40.dll
2009-04-25 11:15:29 ----A---- C:\Windows\system32\D3DCompiler_40.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\XAudio2_3.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\XAPOFX1_2.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\xactengine3_3.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\X3DAudio1_5.dll
2009-04-25 11:08:36 ----A---- C:\Windows\system32\GUStrLib.dll
2009-04-25 11:08:33 ----A---- C:\Windows\system32	mffbdrv.dll
2009-04-25 11:08:33 ----A---- C:\Windows\system32	mffbcpl.dll
2009-04-25 11:08:32 ----D---- C:\Program Files\Thrustmaster
2009-04-25 11:08:22 ----D---- C:\Users\Franck\AppData\Roaming\InstallShield

======List of files/folders modified in the last 2 months======

2009-06-23 17:21:51 ----D---- C:\Windows\Temp
2009-06-23 17:20:15 ----D---- C:\Windows\System32
2009-06-23 17:20:15 ----D---- C:\Windows\inf
2009-06-23 17:20:15 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-23 17:19:36 ----D---- C:\Windows\Debug
2009-06-23 17:19:36 ----D---- C:\Windows
2009-06-23 17:19:36 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-06-23 17:18:19 ----RD---- C:\Program Files
2009-06-23 17:17:08 ----D---- C:\Windows\system32\WDI
2009-06-23 17:16:26 ----SHD---- C:\$Recycle.Bin
2009-06-23 17:16:11 ----D---- C:\Windows\Prefetch
2009-06-23 17:15:30 ----A---- C:
tservicelogOutlook.txt
2009-06-23 17:15:29 ----D---- C:\ProgramData\avg8
2009-06-23 16:50:19 ----HD---- C:\$AVG8.VAULT$
2009-06-23 15:43:07 ----D---- C:\Windows\system32\catroot2
2009-06-23 15:41:22 ----D---- C:\Windows\system32\drivers
2009-06-23 15:39:08 ----D---- C:\Windows\Tasks
2009-06-23 15:23:42 ----D---- C:\Windows\system32\fr-FR
2009-06-23 15:06:35 ----HD---- C:\ProgramData
2009-06-23 13:51:24 ----SD---- C:\Windows\Downloaded Program Files
2009-06-21 20:43:44 ----D---- C:\Windowsescache
2009-06-21 20:39:06 ----D---- C:\Windows\winsxs
2009-06-21 20:28:44 ----D---- C:\Windows\system32\catroot
2009-06-21 20:26:32 ----D---- C:\Windows\system32\migration
2009-06-21 20:26:32 ----D---- C:\Windows\system32\en-US
2009-06-21 20:26:32 ----D---- C:\Program Files\Internet Explorer
2009-06-20 22:27:51 ----SHD---- C:\Windows\Installer
2009-06-20 22:27:35 ----RSD---- C:\Windows\assembly
2009-06-20 17:34:22 ----D---- C:\Windows\system32\Tasks
2009-06-20 13:39:07 ----SHD---- C:\System Volume Information
2009-06-19 11:01:46 ----HD---- C:\Program Files\InstallShield Installation Information
2009-06-14 11:20:20 ----D---- C:\Windows\Microsoft.NET
2009-06-14 10:51:22 ----D---- C:\Windows\ehome
2009-06-14 01:11:13 ----D---- C:\Windows\PolicyDefinitions
2009-06-14 01:11:05 ----D---- C:\ProgramData\Microsoft Help
2009-06-13 14:46:34 ----D---- C:\Program Files\Common Files\microsoft shared
2009-06-13 14:46:30 ----RSD---- C:\Windows\Fonts
2009-06-13 14:46:23 ----D---- C:\Program Files\Microsoft Works
2009-06-13 14:26:22 ----D---- C:\Program Files\Common Files
2009-06-13 14:26:08 ----SD---- C:\ProgramData\Microsoft
2009-06-11 20:12:33 ----D---- C:\Program Files\Common Files\Steam
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe
2009-05-29 07:42:14 ----D---- C:\Windows\system32\oodag
2009-05-14 09:03:50 ----D---- C:\Program Files\Windows Mail
2009-05-11 11:53:17 ----D---- C:\Program Files\Common Files\Adobe
2009-05-06 11:15:42 ----A---- C:\Windows\system32\avgrsstx.dll
2009-04-25 11:15:34 ----D---- C:\ProgramData\Media Center Programs
2009-04-25 10:48:55 ----D---- C:\Users\Franck\AppData\Roaming\GrabIt

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-05-06 325896]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-05-06 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-05-06 108552]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\Windows\system32\drivers\AtiHdmi.sys [2009-02-20 95760]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-03-16 4361216]
R3 hrfsmrx;hrfsmrx; C:\Windows\System32\Drivers\hrfsmrx.sys [2009-03-20 143928]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-29 2163288]
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x86.sys [2008-07-01 47616]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 a1mmuogs;a1mmuogs; C:\Windows\system32\drivers\a1mmuogs.sys []
S3 catchme;catchme; \??\C:\Users\Franck\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 winusb;Pilote WinUsb; C:\Windows\system32\DRIVERS\winusb.sys [2008-01-21 31616]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-03-16 180224]
R2 avg8emc;AVG Free8 E-mail Scanner; D:\FICHIE~1\AVG\avgemc.exe [2009-05-06 908568]
R2 avg8wd;AVG Free8 WatchDog; D:\FICHIE~1\AVG\avgwdsvc.exe [2009-05-06 298776]
R2 DvmMDES;DeviceVM Meta Data Export Service; D:\ASUS.SYS\config\DVMExportService.exe [2008-11-26 323584]
R2 O&O Defrag;O&O Defrag; C:\Windows\system32\oodag.exe [2007-06-29 1049856]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-05-05 66872]
R2 RapiMgr;@%windir%\WindowsMobileapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 humyo.com;humyo.com; D:\Fichiers programmes\humyo.fr Application\hrfscore.exe [2009-03-20 2691128]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2009-06-13 316664]

-----------------EOF-----------------

sKe69 · Answer

bien ...

je regarde tout cela et te donne suite ... ^^

framel2324 · Answer

info.txt de rsit :

info.txt logfile of random's system information tool 1.06 2009-06-23 17:21:56

======Uninstall list======

-->D:\Fichiers programmes\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Age of Empires III-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97} 
Architecture 3D - 2.1.3 (version gratuite)-->"D:\Fichiers programmes\Architecture 3D - 2 (version gratuite)\unins000.exe"
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver-->"C:\Program Files\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\Setup.exe" -runfromtemp -l0x040c -removeonly
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
AVG Free 8.5-->D:\Fichiers programmes\AVG\setup.exe /UNINSTALL
bwin Poker-->"C:\bwinPoker\unins000.exe"
Canon ScanGear Toolbox 3.0-->C:\Windows\IsUn040c.exe -f"d:\fichiers programmes\Scangear Canon\Uninst.isu" -c"d:\fichiers programmes\Scangear Canon\uninst.dll"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Express Gate-->MsiExec.exe /X{99AD9D6D-A456-49EE-8360-F22EE7AA1272}
Free YouTube to Mp3 Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
Google SketchUp 6-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x40c  -removeonly
Google SketchUp 6-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}\setup.exe" -l0x40c  -removeonly
GrabIt 1.7.2 Beta 3 (build 996)-->"D:\Fichiers programmes\GrabIt\unins000.exe"
GRID-->"C:\Program Files\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x040c -removeonly
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
humyo.fr Application-->"D:\Fichiers programmes\humyo.fr Application\unins000.exe"
ISO Recorder-->MsiExec.exe /I{1235083F-52F9-44CC-9DF5-F9B7802BB9B7}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
K-Lite Mega Codec Pack 4.2.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LastChaos-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{99A37AC7-E724-4621-B167-500B5A52B69C}\setup.exe" -l0x9  -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
marvell 61xx-->D:\Fichiers programmes\Marvell61xx\uninst-61xx.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Age of Empires II-->"D:\Fichiers programmes\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Outlook 2007 Help  (KB963677)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.6)-->D:\Fichiers programmes\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
Navman SmartST Desktop for iCN530-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{78DAD7A3-EA94-456A-8872-41FED394B87E}\expand.exe" -l0x40c  -removeonly
Need for Speed™ Undercover-->MsiExec.exe /X{E6D22FE1-AB5F-42CA-9480-6F70B96DDD88}
Nero Suite-->C:\Program Files\Common Files\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
NewsLeecher v3.9 Final-->"D:\Fichiers programmes\NewsLeecher\unins000.exe"
O&O Defrag Professional Edition-->MsiExec.exe /I{53480330-E1D1-41CA-B8F8-7F78644F7F50}
OpenAL-->"C:\Program Files\OpenAL\OalinstGridRelease.exe" /U
PlayFLV-->"C:\Program Files\FLVCodec\uninstall.exe"
QuickPar 0.9-->D:\Fichiers programmes\QuickPar\uninst.exe
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe"  -removeonly
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
SpeedSim-->D:\Fichiers programmes\SpeedSim\uninst.exe
Spybot - Search & Destroy-->"D:\Fichiers programmes\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
SuperCopier2-->"D:\Fichiers programmes\SuperCopier2\SC2Uninst.exe"
Thrustmaster Force Feedback Driver-->C:\Program Files\InstallShield Installation Information\{8F5A0981-5CDC-41D0-BCA2-AD3B777FC358}\setup.exe -runfromtemp -l0x040c -removeonly
Tom Clancy's H.A.W.X-->"C:\Program Files\InstallShield Installation Information\{6E36A172-06FB-4BC8-B7FC-D30D219E6776}\setup.exe" -runfromtemp -l0x040c -removeonly
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 (KB969907)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {74F98B24-AFBD-4800-9BD6-87D349B5C462}
Update for Outlook 2007 Junk Email Filter (kb970012)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {DC4A962B-9EC2-469C-BC9C-87312ADAEE81}
UsbFix-->C:\UsbFix\Uninstal.exe
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
Warhammer 40,000: Dawn Of War - Gold Edition-->MsiExec.exe /X{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}
Warhammer 40,000: Dawn of War II-->"D:\Fichiers programmes\Steam\steam.exe" steam://uninstall/15620
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
World of Warcraft FREE Trial-->MsiExec.exe /X{02EBDBB9-4600-41D3-B566-40CB861511D2}
Xtreme-G Catalyst 8.12 Vista 32-64bit-->"D:\Fichiers programmes\Xtreme-G Catalyst 8.12 Vista 32-64bit\unins000.exe"
Zylom Games Player Plugin-->"C:\Program Files\Zylom Games\UninstallPlugin.exe" --uninstall

======Security center information======

AV: AVG Anti-Virus Free
AS: AVG Anti-Virus Free (disabled)
AS: Windows Defender

======System event log======

Computer Name: PC-Maison
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {BF8FD715-ABD5-4482-AAB9-42EF9E701648}
  	Utilisateur : PC-Maison\Franck
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\UsbFix;runonce:HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\UsbFix;file:C:\UsbFix\UsbFix.cmd
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 44986
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090623151406.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-Maison
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 45004
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090623151523.999789-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7023
Message: Le service Service SSTP (Secure Socket Tunneling Protocol) s'est arrêté avec l'erreur : 
Le serveur RPC n'est pas disponible.
Record Number: 45011
Source Name: Service Control Manager
Time Written: 20090623151654.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Service SSTP (Secure Socket Tunneling Protocol) qui n'a pas pu démarrer en raison de l'erreur : 
Le serveur RPC n'est pas disponible.
Record Number: 45012
Source Name: Service Control Manager
Time Written: 20090623151654.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : 
i8042prt
Record Number: 45073
Source Name: Service Control Manager
Time Written: 20090623151654.000000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-Maison
Event Code: 1000
Message: Application défaillante SpybotSD.exe, version 1.6.0.30, horodatage 0x2a425e19, module défaillant SpybotSD.exe, version 1.6.0.30, horodatage 0x2a425e19, code d’exception 0x80000003, décalage d’erreur 0x002af3b8, ID du processus 0xf08, heure de début de l’application 0x01c9f40e8fd091f3.
Record Number: 7458
Source Name: Application Error
Time Written: 20090623142613.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 3013
Message: Impossible de mettre à jour l'entrée <C:\USBFIX\TOOLS\USBFIX.$$A> dans la configuration de hachage.

Contexte : Application , Catalogue SystemIndex

Détails :
	Un périphérique attaché au système ne fonctionne pas correctement.   (0x8007001f)

Record Number: 7462
Source Name: Microsoft-Windows-Search
Time Written: 20090623144824.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Maison
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 12 user registry handles leaked from \Registry\User\S-1-5-21-1077318001-2683882941-394011359-1000:
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 1076 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates	rust
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Policies\Microsoft\SystemCertificates
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\My
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\My
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\CA
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\Root
Process 3320 (\Device\HarddiskVolume2\Fichiers programmes\humyo.fr Application\hrfscore.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000\Software\Microsoft\SystemCertificates\SmartCardRoot

Record Number: 7465
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090623151410.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-Maison
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 2 user registry handles leaked from \Registry\User\S-1-5-21-1077318001-2683882941-394011359-1000_Classes:
Process 568 (\Device\HarddiskVolume1\Windows\System32\csrss.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000_CLASSES
Process 1076 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1077318001-2683882941-394011359-1000_CLASSES

Record Number: 7466
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090623151410.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-Maison
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 7484
Source Name: Microsoft-Windows-WMI
Time Written: 20090623151654.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-Maison
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 11291
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623151525.029395-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Maison
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-MAISON$
	Domaine du compte :		MAISON
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		Franck
	Domaine du compte :		PC-Maison
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x320
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 11292
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623151533.263799-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Maison
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-MAISON$
	Domaine du compte :		MAISON
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			2

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-1077318001-2683882941-394011359-1000
	Nom du compte :		Franck
	Domaine du compte :		PC-Maison
	ID d’ouverture de session :		0x36ec7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x320
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	PC-MAISON
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		User32 
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 11293
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623151533.263799-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Maison
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-21-1077318001-2683882941-394011359-1000
	Nom du compte :		Franck
	Domaine du compte :		PC-Maison
	ID d’ouverture de session :		0x36ec7

Privilèges :		SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 11294
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623151533.263799-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Maison
Event Code: 5032
Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

Code d’erreur :	2
Record Number: 11295
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090623151737.830999-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------


Pour info, je n'ai plus rien dans la barre des tâches, mais je suppose que c'est normal

sKe69 · Answer

Bien ...


la suite dans l'ordre :


1- Ré-essaye ceci et dis moi si cela à fonctionné :

Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) : 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) . 
/!\ Mais attention : 
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) 
-> il faudra alors les accepter toutes sans exeptions ! 

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

=================


2- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...

========================

3-  Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis : 

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

========================

4- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil . 

-- Pour  XP > laisse toi guider pour faire l'installe de la console de récupération . reconnecte toi uniquement le temps de cette manipulation . une fois le console installée ,re-déconnecte toi avant de poursuivre -- 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 
Poste le rapport Combofix pour analyse ...

framel2324 · Answer

euh....
Spybot ne démarre pas.
Je le désinstalle avant de lancer les outils ?

framel2324 · Answer

spybot désinstallé et plus de dossier, ni fichier

Je continue

framel2324 · Answer

Voilà le rapport de combofix :

ComboFix 09-06-22.0D - Franck 23/06/2009 18:20.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3326.2296 [GMT 2:00]
Lancé depuis: c:\users\Franck\Desktop\CFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ATIODCLI.exe
c:\windows\system32\ATIODE.exe
c:\windows\system32\drivers\MSIVXnepiocpesxmnbrbobxvbefrxervsyplt.sys
c:\windows\system32\MSIVXcount
c:\windows\system32\MSIVXofjwjtwvutwlqdqyhdctobkweiuoytsq.dll
c:\windows\system32\MSIVXtvfvchxwcqtebndfxmccofryoewwbiuh.dll
c:\windows\system32	mp.reg

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSIVXserv.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-23 au 2009-06-23  ))))))))))))))))))))))))))))))))))))
.

2009-06-23 16:22 . 2009-06-23 16:22	--------	d-----w-	c:\users\Franck\AppData\Local	emp
2009-06-23 15:21 . 2009-06-23 15:21	--------	d-----w-	C:sit
2009-06-23 15:18 . 2009-06-23 15:18	--------	d-----w-	c:\program files\CCleaner
2009-06-23 14:48 . 2009-06-23 15:16	--------	d-----w-	C:\UsbFix
2009-06-23 13:23 . 2009-06-23 13:23	--------	d-s---w-	C:\ComboFix2
2009-06-23 13:08 . 2009-06-23 13:08	--------	d-----w-	c:\users\Franck\AppData\Roaming\Malwarebytes
2009-06-23 13:06 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-23 13:06 . 2009-06-23 13:08	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-06-23 13:06 . 2009-06-23 13:06	--------	d-----w-	c:\programdata\Malwarebytes
2009-06-23 13:06 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-23 12:29 . 2009-06-23 15:56	--------	d-----w-	c:\program files\Trend Micro
2009-06-23 11:50 . 2009-06-23 12:15	35	----a-w-	c:\users\Franck\AppData\Roaming\SetValue.bat
2009-06-22 15:24 . 2009-06-22 15:25	--------	d-----w-	C:\bwinPoker
2009-06-21 19:56 . 2009-06-21 19:56	--------	d-----w-	c:\users\Franck\OngameNetwork
2009-06-21 19:54 . 2009-06-21 19:56	--------	d-----w-	c:\users\Franck\P5JavaClientSettings
2009-06-19 13:36 . 2009-06-23 10:39	--------	d-----w-	c:\users\Franck\AppData\Roaming\LiveCAD2
2009-06-19 09:41 . 2009-06-19 09:49	--------	d-----w-	c:\users\Franck\AppData\Roaming\ArchiFacile
2009-06-13 15:39 . 2007-09-04 16:56	164352	----a-w-	c:\windows\system32\unrar.dll
2009-06-13 15:39 . 2008-09-16 00:14	3596288	----a-w-	c:\windows\system32\qt-dx331.dll
2009-06-13 15:39 . 2008-09-16 00:12	81920	----a-w-	c:\windows\system32\dpl100.dll
2009-06-13 15:39 . 2008-09-16 00:11	683520	----a-w-	c:\windows\system32\divx.dll
2009-06-13 15:39 . 2004-01-25 16:18	217088	----a-w-	c:\windows\system32\yv12vfw.dll
2009-06-13 15:39 . 2009-06-13 15:39	--------	d-----w-	c:\program files\K-Lite Codec Pack
2009-06-13 15:22 . 2009-06-13 15:22	--------	d-----w-	c:\program files\FLVCodec
2009-06-13 12:26 . 2009-06-13 12:26	--------	d-----w-	c:\program files\Common Files\Windows Live
2009-06-13 07:14 . 2009-04-30 12:37	293376	----a-w-	c:\windows\system32\psisdecd.dll
2009-06-13 07:14 . 2009-04-30 12:37	428544	----a-w-	c:\windows\system32\EncDec.dll
2009-06-12 10:53 . 2009-04-23 12:42	636928	----a-w-	c:\windows\system32\localspl.dll
2009-06-12 10:53 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 16:13 . 2008-01-21 08:40	669328	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-23 16:13 . 2008-01-21 08:40	123350	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-23 16:04 . 2009-02-07 14:27	--------	d-----w-	c:\programdata\avg8
2009-06-23 15:45 . 2009-02-07 14:31	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2009-06-23 12:15 . 2009-06-23 11:50	691	----a-w-	c:\users\Franck\AppData\Roaming\GetValue.vbs
2009-06-19 09:01 . 2009-02-07 14:01	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-14 09:53 . 2009-05-05 14:29	138184	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-06-14 09:53 . 2009-05-05 14:29	183112	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-06-14 09:37 . 2009-02-07 14:00	100632	----a-w-	c:\users\Franck\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-13 23:11 . 2009-02-07 15:00	--------	d-----w-	c:\programdata\Microsoft Help
2009-06-13 12:46 . 2009-02-07 15:03	--------	d-----w-	c:\program files\Microsoft Works
2009-06-11 18:12 . 2009-04-18 15:57	--------	d-----w-	c:\program files\Common Files\Steam
2009-05-24 15:08 . 2009-05-18 18:43	--------	d-----w-	c:\programdata\Codemasters
2009-05-23 18:54 . 2009-05-17 19:14	444952	----a-w-	c:\windows\system32\wrap_oal.dll
2009-05-23 18:54 . 2009-05-17 19:14	109080	----a-w-	c:\windows\system32\OpenAL32.dll
2009-05-17 21:57 . 2009-05-17 21:57	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-05-17 21:57 . 2009-05-17 21:57	--------	d-----w-	c:\program files\DVDVideoSoft
2009-05-17 21:35 . 2009-05-17 21:35	--------	d-----w-	c:\program files\Audacity
2009-05-17 19:14 . 2009-05-17 19:14	--------	d-----w-	c:\program files\OpenAL
2009-05-14 07:03 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-11 09:53 . 2009-02-07 14:45	--------	d-----w-	c:\program files\Common Files\Adobe
2009-05-06 09:15 . 2009-02-07 14:27	11952	----a-w-	c:\windows\system32\avgrsstx.dll
2009-05-06 09:15 . 2009-02-07 14:27	325896	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2009-05-06 09:15 . 2009-02-07 14:27	27784	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2009-05-06 09:15 . 2009-02-08 11:20	108552	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2009-05-05 14:29 . 2009-05-05 14:29	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-05-05 14:03 . 2009-05-05 14:03	--------	d-----w-	c:\users\Franck\AppData\Roaming\Leadertech
2009-04-25 09:15 . 2009-02-17 21:24	--------	d-----w-	c:\programdata\Media Center Programs
2009-04-25 09:08 . 2009-04-25 09:08	--------	d-----w-	c:\program files\Thrustmaster
2009-04-25 09:08 . 2009-04-25 09:08	--------	d-----w-	c:\users\Franck\AppData\Roaming\InstallShield
2009-04-25 08:48 . 2009-02-18 19:03	--------	d-----w-	c:\users\Franck\AppData\Roaming\GrabIt
2009-04-24 16:05 . 2009-06-12 10:54	827904	----a-w-	c:\windows\system32\wininet.dll
2009-04-24 16:02 . 2009-06-12 10:54	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-24 13:44 . 2009-06-12 10:54	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-04-21 22:20 . 2009-04-21 22:20	14311680	----a-w-	c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20	13642496	----a-w-	c:\windows\system32\xlivefnt.dll
2009-04-21 11:55 . 2009-06-12 10:54	2033152	----a-w-	c:\windows\system32\win32k.sys
2009-04-14 16:24 . 2009-04-14 16:24	8192	----a-r-	c:\users\Franck\AppData\Roaming\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\IconD0B36BAF3.exe
2009-04-14 16:24 . 2009-04-14 16:24	6144	----a-r-	c:\users\Franck\AppData\Roaming\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\Icon83F12F734.exe
2009-04-14 16:24 . 2009-04-14 16:24	11264	----a-r-	c:\users\Franck\AppData\Roaming\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\Icon8F99E711.exe
2009-04-12 14:50 . 2009-04-12 14:50	10134	----a-r-	c:\users\Franck\AppData\Roaming\Microsoft\Installer\{4D917177-4E73-144B-EFFE-802EFF83D5B4}\ARPPRODUCTICON.exe
2009-04-06 10:14 . 2009-04-06 10:14	86016	----a-w-	c:\programdata\Zylom\ZylomGamesPlayer\zylom\petshophop\fr-FR\ZylomHost.exe
2009-04-06 10:14 . 2009-04-06 10:14	49152	----a-w-	c:\programdata\Zylom\ZylomGamesPlayer\zylom\petshophop\fr-FR\ZylomAdapter.dll
2009-04-06 10:14 . 2009-04-06 10:14	1974272	----a-w-	c:\programdata\Zylom\ZylomGamesPlayer\zylom\petshophop\fr-FR\PetShopHop.exe
2009-02-07 14:39 . 2009-02-07 14:39	278528	----a-w-	c:\program files\Common Files\FDEUnInstaller.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"DAEMON Tools Lite"="d:\fichiers programmes\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="d:\fichie~1\AVG\avgtray.exe" [2009-05-06 1947928]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-06-28 2512128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-17 61440]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-29 6281760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{735FDC5B-D41B-46BC-8022-CAE1B0DEEE46}"= d:\fichiers programmes\AVG\avgemc.exe:avgemc.exe
"{1044E5A2-817C-448E-B628-5DEDFA887EC7}"= d:\fichiers programmes\AVG\avgupd.exe:avgupd.exe
"{19B3D609-348B-4849-B3A1-3293659E4C34}"= UDP:d:\fichiers programmes\utorrent\uTorrent.exe:µTorrent (TCP-In)
"{7512A38D-46A3-4E3D-8C36-FC81C931D564}"= TCP:d:\fichiers programmes\utorrent\uTorrent.exe:µTorrent (UDP-In)
"{B23979BE-36B9-42B5-9C3D-717E239B475E}"= UDP:d:\fichiers programmes\Crysis\Bin32\Crysis.exe:Crysis_32
"{D500409E-3268-4037-BF8C-1A86B1753A37}"= TCP:d:\fichiers programmes\Crysis\Bin32\Crysis.exe:Crysis_32
"{E377AF88-25BB-4D70-9020-58461D29C3DC}"= UDP:d:\fichiers programmes\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{6DC8DCF2-3781-4FCA-BF3A-EE4EF2DF623F}"= TCP:d:\fichiers programmes\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{FA46AAF9-31FD-4EFD-9AE9-26296E879F48}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{D50A945B-40FE-43BC-9F66-68F95041478D}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{DCF158F7-9A08-406F-9157-7E9FC29DAB75}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{E632A87B-96B8-451C-84E5-7C08C98C5220}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"TCP Query User{04B03F6A-ABBB-4C02-8D45-E4AE8A13BCF5}d:\fichiers programmes\steam\steamapps\common\dawn of war 2\dow2.exe"= UDP:d:\fichiers programmes\steam\steamapps\common\dawn of war 2\dow2.exe:DOW2
"UDP Query User{D40E374F-8CB6-4DAB-906F-6796F41F5B69}d:\fichiers programmes\steam\steamapps\common\dawn of war 2\dow2.exe"= TCP:d:\fichiers programmes\steam\steamapps\common\dawn of war 2\dow2.exe:DOW2
"{EA58094E-C484-430E-B212-6910B5530384}"= UDP:d:\fichiers programmes\Ubisoft\Tom Clancy's H.A.W.X\HAWX.exe:Tom Clancy's H.A.W.X
"{65C46C7F-7652-4636-8522-95F6C2A90BC9}"= TCP:d:\fichiers programmes\Ubisoft\Tom Clancy's H.A.W.X\HAWX.exe:Tom Clancy's H.A.W.X
"{D89EE256-1D2E-4EBB-B6AA-7E5E210176EE}"= UDP:d:\fichiers programmes\Ubisoft\Tom Clancy's H.A.W.X\HAWX_dx10.exe:Tom Clancy's H.A.W.X
"{C0A305F2-A0D6-4F6E-89F7-29F3486A9D59}"= TCP:d:\fichiers programmes\Ubisoft\Tom Clancy's H.A.W.X\HAWX_dx10.exe:Tom Clancy's H.A.W.X
"TCP Query User{043DBE16-81B2-4A7D-A729-193944F50F81}c:\windows\system32\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Application d'assistance Microsoft DirectPlay
"UDP Query User{018406FE-5DD4-405D-A0C8-2D8FECB37CFB}c:\windows\system32\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Application d'assistance Microsoft DirectPlay
"TCP Query User{6BCA6B85-2800-4247-BB4F-241F81A527B7}d:\fichiers programmes\microsoft games\age of empires ii\empires2.exe"= UDP:d:\fichiers programmes\microsoft games\age of empires ii\empires2.exe:Age of Empires II
"UDP Query User{9C8927CF-97E0-4CE3-A4EE-C02C426C356C}d:\fichiers programmes\microsoft games\age of empires ii\empires2.exe"= TCP:d:\fichiers programmes\microsoft games\age of empires ii\empires2.exe:Age of Empires II
"{EB094007-B0B9-4742-8EFE-D40BA7C779D2}"= UDP:d:\fichiers programmes\Codemasters\GRID\GRID.exe:GRID
"{1F77F332-EAC6-407D-8B39-39A63CD3C7FE}"= TCP:d:\fichiers programmes\Codemasters\GRID\GRID.exe:GRID

R0 mv61xx;mv61xx;c:\windows\System32\drivers\mv61xx.sys [22/07/2008 10:01 151592]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [07/02/2009 16:27 325896]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [08/02/2009 13:20 108552]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [16/03/2009 22:27 180224]
R2 avg8emc;AVG Free8 E-mail Scanner;d:\fichie~1\AVG\avgemc.exe [07/02/2009 16:27 908568]
R2 avg8wd;AVG Free8 WatchDog;d:\fichie~1\AVG\avgwdsvc.exe [07/02/2009 16:27 298776]
R2 DvmMDES;DeviceVM Meta Data Export Service;d:\asus.sys\config\DVMExportService.exe [26/11/2008 11:36 323584]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\System32\drivers\AtiHdmi.sys [20/02/2009 07:17 95760]
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\System32\drivers\L1E60x86.sys [01/07/2008 02:28 47616]
S3 hrfsmrx;hrfsmrx;c:\windows\System32\drivers\hrfsmrx.sys [27/03/2009 20:42 143928]
S3 humyo.com;humyo.com;d:\fichiers programmes\humyo.fr Application\hrfscore.exe [27/03/2009 20:42 2691128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2009-06-23 c:\windows\Tasks\User_Feed_Synchronization-{CDA1582D-F119-4849-AA96-2B59D30CAEA7}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
IE: Save Image To humyo.fr - d:\fichiers programmes\humyo.fr Application\download.html
IE: Save Target To humyo.fr - d:\fichiers programmes\humyo.fr Application\download.html
FF - ProfilePath - c:\users\Franck\AppData\Roaming\Mozilla\Firefox\Profiles\50whhfku.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - component: d:\fichiers programmes\Mozilla Firefox\extensions\hrfsdownloader@hrfs.com\components\HrfsFirefoxDownloader.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
ppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
prpjplug.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: d:\fichiers programmes\Adobe\Acrobat Reader\Reader\browser
ppdf32.dll
FF - plugin: d:\fichiers programmes\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: d:\fichiers programmes\Mozilla Firefox\plugins
pzylomgamesplayer.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-23 18:22
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows\TEMP\TMP000000320FB31D51717C8670 524288 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
Heure de fin: 2009-06-23 18:23
ComboFix-quarantined-files.txt  2009-06-23 16:23

Avant-CF: 26 378 190 848 octets libres
Après-CF: 26 387 230 720 octets libres

208	--- E O F ---	2009-06-23 14:33


Pour info, l'install de hijackthis a dû être effectuée en mode sans échec, car il me faisait planter le PC :'(

J'ai également noté que combofix m'a supprimé les deux dll qui posaient problème.
Je suis prêt pour la suite.

sKe69 · Answer

Bien ...


la suite :


1- refais un coup de CCleaner ( registre compris ) .

=================

2- utilise Malwarebytes :

mets le à jour . 


! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date), 
accompagné d'un nouveau rapport RSIT pour analyse ...

framel2324 · Answer

rapport malwarebyte's :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2325
Windows 6.0.6001 Service Pack 1

23/06/2009 19:11:20
mbam-log-2009-06-23 (19-11-20).txt

Type de recherche: Examen rapide
Eléments examinés: 81207
Temps écoulé: 2 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

framel2324 · Answer

rapport RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Franck at 2009-06-23 19:11:56
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 25 GB (51%) free of 50 GB
Total RAM: 3326 MB (66% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows	asks\User_Feed_Synchronization-{CDA1582D-F119-4849-AA96-2B59D30CAEA7}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - d:\fichiers programmes\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - D:\Fichiers programmes\AVG\avgssie.dll [2009-05-06 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4DC16316-5372-4476-9CA5-88B2786B838F}]
IEHelperObject Class - D:\Fichiers programmes\humyo.fr Application\HrfsDownloader.dll [2009-03-20 479288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-08-29 6281760]
"AVG8_TRAY"=D:\FICHIE~1\AVG\avgtray.exe [2009-05-06 1947928]
"NeroFilterCheck"=C:\Windows\system32\NeroCheck.exe [2006-01-12 155648]
"OODefragTray"=C:\Windows\system32\oodtray.exe [2007-06-29 2512128]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"Windows Mobile Device Center"=C:\Windows\WindowsMobile\wmdc.exe [2007-05-31 648072]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"DAEMON Tools Lite"=D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe [2008-12-29 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\Windows\System32\avgrsstx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDrives"=0
"NoDriveAutoRun"=FFFFFFFF
"HonorAutoRunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"HonorAutoRunSetting"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 2 months======

2009-06-23 18:36:01 ----D---- C:\Windows\Sun
2009-06-23 18:23:11 ----SHD---- C:\$RECYCLE.BIN
2009-06-23 18:23:11 ----D---- C:\Windows	emp
2009-06-23 18:23:10 ----A---- C:\ComboFix.txt
2009-06-23 18:12:57 ----A---- C:\Windows\zip.exe
2009-06-23 18:12:57 ----A---- C:\Windows\SWXCACLS.exe
2009-06-23 18:12:57 ----A---- C:\Windows\SWSC.exe
2009-06-23 18:12:57 ----A---- C:\Windows\SWREG.exe
2009-06-23 18:12:57 ----A---- C:\Windows\sed.exe
2009-06-23 18:12:57 ----A---- C:\Windows\PEV.exe
2009-06-23 18:12:57 ----A---- C:\Windows\NIRCMD.exe
2009-06-23 18:12:57 ----A---- C:\Windows\grep.exe
2009-06-23 18:12:54 ----SD---- C:\CFix
2009-06-23 18:00:55 ----D---- C:\Qoobox
2009-06-23 17:21:55 ----D---- C:sit
2009-06-23 17:18:19 ----D---- C:\Program Files\CCleaner
2009-06-23 17:16:10 ----RASHD---- C:\autorun.inf
2009-06-23 17:15:35 ----A---- C:\UsbFix.txt
2009-06-23 16:48:17 ----D---- C:\UsbFix
2009-06-23 16:36:55 ----A---- C:\TCleaner.txt
2009-06-23 15:23:32 ----SD---- C:\ComboFix2
2009-06-23 15:15:15 ----D---- C:\Windows\ERDNT
2009-06-23 15:08:28 ----D---- C:\Users\Franck\AppData\Roaming\Malwarebytes
2009-06-23 15:06:35 ----D---- C:\ProgramData\Malwarebytes
2009-06-23 15:06:35 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-23 14:30:30 ----D---- C:\Windows\Minidump
2009-06-23 14:29:12 ----D---- C:\Program Files\Trend Micro
2009-06-23 13:50:34 ----A---- C:\Users\Franck\AppData\Roaming\SetValue.bat
2009-06-23 13:50:34 ----A---- C:\Users\Franck\AppData\Roaming\GetValue.vbs
2009-06-23 13:49:05 ----A---- C:\Windows\system32	mp.txt
2009-06-23 13:49:03 ----A---- C:apport.txt
2009-06-22 17:24:03 ----D---- C:\bwinPoker
2009-06-19 15:36:47 ----D---- C:\Users\Franck\AppData\Roaming\LiveCAD2
2009-06-19 11:41:06 ----D---- C:\Users\Franck\AppData\Roaming\ArchiFacile
2009-06-13 17:39:34 ----A---- C:\Windows\system32\unrar.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\yv12vfw.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\qt-dx331.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\dpl100.dll
2009-06-13 17:39:33 ----A---- C:\Windows\system32\divx.dll
2009-06-13 17:39:32 ----D---- C:\ProgramData\Real
2009-06-13 17:39:32 ----D---- C:\Program Files\K-Lite Codec Pack
2009-06-13 17:22:47 ----D---- C:\Program Files\FLVCodec
2009-06-13 14:26:22 ----D---- C:\Program Files\Common Files\Windows Live
2009-06-13 09:14:01 ----A---- C:\Windows\system32\psisdecd.dll
2009-06-13 09:14:01 ----A---- C:\Windows\system32\EncDec.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\urlmon.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\mshtml.dll
2009-06-12 12:54:11 ----A---- C:\Windows\system32\ieframe.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\wininet.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\occache.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\mstime.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-12 12:54:10 ----A---- C:\Windows\system32\iertutil.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieencode.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-12 12:54:10 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-12 12:53:08 ----A---- C:\Windows\system32\localspl.dll
2009-06-12 12:53:06 ----A---- C:\Windows\system32pcrt4.dll
2009-05-23 20:54:32 ----RA---- C:\Windows\system32	mpD173.tmp
2009-05-23 20:53:15 ----RA---- C:\Windows\system32	mpD172.tmp
2009-05-18 20:43:26 ----D---- C:\ProgramData\Codemasters
2009-05-17 23:57:49 ----A---- C:\Windows\system32\msvcr70.dll
2009-05-17 23:57:45 ----D---- C:\Program Files\DVDVideoSoft
2009-05-17 23:57:45 ----D---- C:\Program Files\Common Files\DVDVideoSoft
2009-05-17 23:35:14 ----D---- C:\Program Files\Audacity
2009-05-17 21:14:53 ----RA---- C:\Windows\system32	mpCEB0.tmp
2009-05-17 21:14:53 ----D---- C:\Program Files\OpenAL
2009-05-17 21:14:53 ----A---- C:\Windows\system32\wrap_oal.dll
2009-05-17 21:14:53 ----A---- C:\Windows\system32\OpenAL32.dll
2009-05-17 21:13:27 ----RA---- C:\Windows\system32	mpCE90.tmp
2009-05-05 16:29:52 ----A---- C:\Windows\system32\PnkBstrA.exe
2009-05-05 16:29:39 ----A---- C:\Windows\system32\PnkBstrB.exe
2009-05-05 16:03:33 ----D---- C:\Users\Franck\AppData\Roaming\Leadertech
2009-04-25 11:15:29 ----A---- C:\Windows\system32\D3DX9_40.dll
2009-04-25 11:15:29 ----A---- C:\Windows\system32\d3dx10_40.dll
2009-04-25 11:15:29 ----A---- C:\Windows\system32\D3DCompiler_40.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\XAudio2_3.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\XAPOFX1_2.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\xactengine3_3.dll
2009-04-25 11:15:28 ----A---- C:\Windows\system32\X3DAudio1_5.dll
2009-04-25 11:08:36 ----A---- C:\Windows\system32\GUStrLib.dll
2009-04-25 11:08:33 ----A---- C:\Windows\system32	mffbdrv.dll
2009-04-25 11:08:33 ----A---- C:\Windows\system32	mffbcpl.dll
2009-04-25 11:08:32 ----D---- C:\Program Files\Thrustmaster
2009-04-25 11:08:22 ----D---- C:\Users\Franck\AppData\Roaming\InstallShield

======List of files/folders modified in the last 2 months======

2009-06-23 19:03:29 ----D---- C:\Windows
2009-06-23 18:57:31 ----D---- C:\Windows\Prefetch
2009-06-23 18:24:25 ----D---- C:\Windows\System32
2009-06-23 18:24:25 ----D---- C:\Windows\inf
2009-06-23 18:24:25 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-23 18:23:13 ----D---- C:\Windows\system32\fr-FR
2009-06-23 18:22:49 ----A---- C:
tservicelogOutlook.txt
2009-06-23 18:22:34 ----A---- C:\Windows\system.ini
2009-06-23 18:21:53 ----D---- C:\Windows\system32\drivers
2009-06-23 18:21:53 ----D---- C:\Windows\AppPatch
2009-06-23 18:21:53 ----D---- C:\Program Files\Common Files
2009-06-23 18:04:10 ----SD---- C:\Users\Franck\AppData\Roaming\Microsoft
2009-06-23 18:04:07 ----HD---- C:\ProgramData
2009-06-23 18:04:07 ----D---- C:\ProgramData\avg8
2009-06-23 17:52:03 ----D---- C:\Windows\system32\LogFiles
2009-06-23 17:45:15 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-06-23 17:19:36 ----D---- C:\Windows\Debug
2009-06-23 17:18:19 ----RD---- C:\Program Files
2009-06-23 17:17:08 ----D---- C:\Windows\system32\WDI
2009-06-23 16:50:19 ----HD---- C:\$AVG8.VAULT$
2009-06-23 15:43:07 ----D---- C:\Windows\system32\catroot2
2009-06-23 15:39:08 ----D---- C:\Windows\Tasks
2009-06-23 13:51:24 ----SD---- C:\Windows\Downloaded Program Files
2009-06-21 20:43:44 ----D---- C:\Windowsescache
2009-06-21 20:39:06 ----D---- C:\Windows\winsxs
2009-06-21 20:28:44 ----D---- C:\Windows\system32\catroot
2009-06-21 20:26:32 ----D---- C:\Windows\system32\migration
2009-06-21 20:26:32 ----D---- C:\Windows\system32\en-US
2009-06-21 20:26:32 ----D---- C:\Program Files\Internet Explorer
2009-06-20 22:27:51 ----SHD---- C:\Windows\Installer
2009-06-20 22:27:35 ----RSD---- C:\Windows\assembly
2009-06-20 17:34:22 ----D---- C:\Windows\system32\Tasks
2009-06-20 13:39:07 ----SHD---- C:\System Volume Information
2009-06-19 11:01:46 ----HD---- C:\Program Files\InstallShield Installation Information
2009-06-14 11:20:20 ----D---- C:\Windows\Microsoft.NET
2009-06-14 10:51:22 ----D---- C:\Windows\ehome
2009-06-14 01:11:13 ----D---- C:\Windows\PolicyDefinitions
2009-06-14 01:11:05 ----D---- C:\ProgramData\Microsoft Help
2009-06-13 14:46:34 ----D---- C:\Program Files\Common Files\microsoft shared
2009-06-13 14:46:30 ----RSD---- C:\Windows\Fonts
2009-06-13 14:46:23 ----D---- C:\Program Files\Microsoft Works
2009-06-13 14:26:08 ----SD---- C:\ProgramData\Microsoft
2009-06-11 20:12:33 ----D---- C:\Program Files\Common Files\Steam
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe
2009-05-29 07:42:14 ----D---- C:\Windows\system32\oodag
2009-05-14 09:03:50 ----D---- C:\Program Files\Windows Mail
2009-05-11 11:53:17 ----D---- C:\Program Files\Common Files\Adobe
2009-05-06 11:15:42 ----A---- C:\Windows\system32\avgrsstx.dll
2009-04-25 11:15:34 ----D---- C:\ProgramData\Media Center Programs
2009-04-25 10:48:55 ----D---- C:\Users\Franck\AppData\Roaming\GrabIt

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-05-06 325896]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-05-06 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-05-06 108552]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\Windows\system32\drivers\AtiHdmi.sys [2009-02-20 95760]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-03-16 4361216]
R3 catchme;catchme; \??\C:\Users\Franck\AppData\Local\Temp\catchme.sys []
R3 hrfsmrx;hrfsmrx; C:\Windows\System32\Drivers\hrfsmrx.sys [2009-03-20 143928]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-29 2163288]
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x86.sys [2008-07-01 47616]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\Windows\system32\drivers\mbamswissarmy.sys [2009-06-17 38160]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 alypdy63;alypdy63; C:\Windows\system32\drivers\alypdy63.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 winusb;Pilote WinUsb; C:\Windows\system32\DRIVERS\winusb.sys [2008-01-21 31616]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-03-16 180224]
R2 avg8emc;AVG Free8 E-mail Scanner; D:\FICHIE~1\AVG\avgemc.exe [2009-05-06 908568]
R2 avg8wd;AVG Free8 WatchDog; D:\FICHIE~1\AVG\avgwdsvc.exe [2009-05-06 298776]
R2 DvmMDES;DeviceVM Meta Data Export Service; D:\ASUS.SYS\config\DVMExportService.exe [2008-11-26 323584]
R2 O&O Defrag;O&O Defrag; C:\Windows\system32\oodag.exe [2007-06-29 1049856]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-05-05 66872]
R2 RapiMgr;@%windir%\WindowsMobileapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 humyo.com;humyo.com; D:\Fichiers programmes\humyo.fr Application\hrfscore.exe [2009-03-20 2691128]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2009-06-13 316664]

-----------------EOF-----------------

tout m'a l'air bien propre.
Qu'en dis-tu ?

je te confirme que Spybot est supprimé définitivement ;)

Si tu as des outils à me proposer, je suis preneur.
De même, j'ai entendu parler de avira antivir comme antivirus.
Puis je remplacer AVG par ce dernier, ou bien AVG est-il assez bon ?

Encore merci pour ton aide

sKe69 · Answer

Bien ...


tout m'a l'air bien propre.

> je te dirai quand tout sera propre ... ^^


Pour l'anti-spyware résident , je te donnerai ce qu'il faut en temps voulou ... pour le moment fais ceci :


Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

framel2324 · Answer

voilà le rapport genproc :

Rapport GenProc 2.594 [1] - 23/06/2009 à 19:34:41  
@ Windows Vista Service Pack 1 - Mode normal
@ Mozilla Firefox (3.0.6) [Navigateur par défaut]

~~ "C:\Windows\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\Windows\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~  
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:35:06 ~~

sKe69 · Answer

oki...


fais ce qui suit dans l'ordre ( si le dernier scan est clean , on pourra finaliser ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"
 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
*Clique sur Suppression pour finaliser. 
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis : 

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista ) 

=====================


5- Fais un scan en ligne avec Kaspersky :

Suis les indications de ce tuto > http://www.commentcamarche.net/faq/sujet 17751 scanner en ligne avec kaspersky

Sauvegarde bien le rapport en ".txt" et poste son contenu dans ta prochaine réponse ...

framel2324 · Answer

[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\Franck\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\Franck\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\Franck\Desktop\UsbFix.lnk: trouvé !
C:\Users\Franck\Desktop\Rsit.exe: trouvé !
C:\Users\Mélanie\Desktop\UsbFix.lnk: trouvé !

framel2324 · Answer

voilà le rapport après suppression :

[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 


---------------------------------
--> Suppression: 



j'ai donc désinstaller hijackthis

je fais quoi maintenant ?

sKe69 · Answer

tu reprends à l'étape 2 de cette manipe donc > http://www.commentcamarche.net/forum/affich 13015848 cheval de troie dans firefox exe et ie exe?page=2#29


^^

framel2324 · Answer

ok
hijackthis réinstallé mais non lancé
restauration supprimée et remise avec redémarrage après chaque étape
Je peux lancer l analyse kapersky ?

sKe69 · Answer

Je peux lancer l analyse kapersky ?


-> yes ! ... ^^

framel2324 · Answer

oki, c'est parti.
Ca risque d'être long, je suppose, dans la mesure où je n'ai que du 512K

sKe69 · Answer

laisse tourner tranquile ( la nuit si il le faut ) et poste dès que possible ... ^^

y a pas le feu au lac ... lol

framel2324 · Answer

c'est clair que je vais le prendre le temps.
Dis moi, il faut toujours autant de temps et de manip habituellement, ou bien mon pc était trop infecté, ou moi qui ai pas tout fait bien ?

framel2324 · Answer

Promis, je poste dès que l'analyse est terminée (sauf si c'est 4h du mat', je serai au lit lol)
J'ai désactivé AVG, car préconisé pendant l'analyse de kapersky.
Ca risque rien, où il vaut mieux que je le réactive ?


A plus, et encore merci pour ton temps passé à m'aider et ta patience

sKe69 · Answer

Ca risque rien, où il vaut mieux que je le réactive ?

ca risque rien vu que tu ne fais rien d'autre avec le PC ... ^^'


A demain pour le rapport donc ...

framel2324 · Answer

Salut, dsl pour le retard ;)
voici le rapport de kapersky :
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
 mercredi 24 juin 2009
 Système d'exploitation : Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
 Version de Kaspersky Online Scanner : 7.0.26.13
 Dernière mise à jour de la base : Tuesday, June 23, 2009 22:55:21
 Enregistrements dans la base : 2384730
--------------------------------------------------------------------------------

Paramètres d'analyse:
	analyser avec la base suivante: étendue
	Analyser les archives: oui
	Analyser les bases de messagerie: oui

Zone d'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\

Statistiques d'analyse:
	Objets analysés: 153933
	Menaces trouvées: 1
	Objets infectés trouvés: 1
	Objets suspects trouvés: 0
	Durée d'analyse: 02:22:44


Nom de fichier / Menace / Compteur de menaces
C:\Users\Franck\Downloads\osm095_fr-en.exe	Infecté : Trojan.Win32.Agent.ixf	1

La zone sélectionnée a été analysée.

voili voilou

sKe69 · Answer

Salut,


une petite salté qui traine ... on nettoye :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnecte toi et ferme toutes tes applications en cours !
 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:processes
explorer.exe

:Services

:Reg

:Files
C:\Users\Franck\Downloads\osm095_fr-en.exe

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

framel2324 · Answer

voilà le rapport :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\Users\Franck\Downloads\osm095_fr-en.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 0 bytes
 
User: Franck
->Temporary Internet Files folder emptied: 41809 bytes
->Java cache emptied: 31255074 bytes
->FireFox cache emptied: 56519200 bytes
 
User: Mélanie
->Temporary Internet Files folder emptied: 4832029 bytes
->Java cache emptied: 21762885 bytes
->FireFox cache emptied: 87376727 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3221600 bytes
File delete failed. C:\Windows	emp\TMP00000054C1FCFFAB98D920E4 scheduled to be deleted on reboot.
Windows Temp folder emptied: 524288 bytes
 
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 196,04 mb
 
 
OTM by OldTimer - Version 3.0.0.2 log created on 06242009_114328

Files moved on Reboot...
File C:\Windows	emp\TMP00000054C1FCFFAB98D920E4 not found!

Registry entries deleted on Reboot...

sKe69 · Answer

bien ...



si tu n'as plus de soucis , on finalise ... dans l'ordre :



1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 14
Version Adobe Reader à jour > v 9.1.1
Version Internet Explorer à jour > v 8

* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : http://www.commentcamarche.net/faq/sujet 15645 javara indispensable )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader


* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405


=====================

2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( Vista SP2 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

Astuce ici :
http://www.commentcamarche.net/faq/sujet 273 windows update toutes versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


=======================


3- une fois tout ceci fait , utilise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

framel2324 · Answer

voilà, IE 8 installé
vista SP2 installé
mises à jour effectuées

voilà le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:23, on 24/06/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
D:\Fichiers programmes\AVG\avgtray.exe
C:\Windows\System32\oodtray.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Fichiers programmes\AVG\avgssie.dll
O2 - BHO: IEHelperObject - {4DC16316-5372-4476-9CA5-88B2786B838F} - D:\Fichiers programmes\humyo.fr Application\HrfsDownloader.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AVG8_TRAY] D:\FICHIE~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Fichiers programmes\DAEMON Tools Lite\daemon.exe" -autorun
O8 - Extra context menu item: Save Image To humyo.fr - D:\Fichiers programmes\humyo.fr Application\download.html
O8 - Extra context menu item: Save Target To humyo.fr - D:\Fichiers programmes\humyo.fr Application\download.html
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FICHIE~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Fichiers programmes\AVG\avgpp.dll
O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\FICHIE~1\AVG\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\FICHIE~1\AVG\avgwdsvc.exe
O23 - Service: DeviceVM Meta Data Export Service (DvmMDES) - DeviceVM - D:\ASUS.SYS\config\DVMExportService.exe
O23 - Service: humyo.com - humyo.com Ltd. - D:\Fichiers programmes\humyo.fr Application\hrfscore.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

framel2324 · Answer

je dois m'absenter pour l'aprèm.
Je continuerai les manip que tu me diras dès mon retour.

A plus tard ;)

sKe69 · Answer

Impec ... Suis cette astuce pour stabiliser IE8 : http://www.commentcamarche.net/faq/sujet 17570 lenteur internet explorer 8 Et pour finir, dans l'ordre : 1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi . Relance Hijackthis mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" Tu cliques en bas sur le bouton FIX CHECKED et valides . =================== 2- Déconnecte toi et ferme bien toutes tes applications en cours . Clique droit sur Toolscleaner2 et choisis "éxécuter en tant que Administrateur" *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . Puis enfin supprime Toolscleaner2 ... ==================== 3- Refais un coup de CCleaner (registre compris ). ==================== 4- Fais ce check-up pour finir : Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques * Nettoyage Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques durs ... * Vérifications des erreurs Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" . clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -"réparer automatiquement les erreurs..." -"rechercher et tenter une récupération..." Démarrer, ok s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal . Tu le fais pour chacun de tes disques ... Ensuite toujours dans le même onglet tu choisis : * Défragmentation "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus d'une dix heure dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - pour créer un point de restauration cliques sur : "ouvrer protection système" . -->dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " . - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

framel2324 · Answer

me voilà rentré
je lance toutes ces manip.
je pense que ce ne sera pas fini avant demain matin.
Je te tiendrai au courant en fin d'aprèm demain, car pas de net au taf.

merci pour ton aide précieuse, en tout cas, et surtout ton temps passé à me sortir de ce mauvais pas.

sKe69 · Answer

re,


je pense que ce ne sera pas fini avant demain matin. 
Je te tiendrai au courant en fin d'aprèm demain, car pas de net au taf. 


aucun prb ! ... =)

A demain au pire donc ...

.

framel2324 · Answer

[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Franck\Desktop\HijackThis.lnk: trouvé !
C:\Users\Franck\Desktop\OTM.exe: trouvé !
C:\Users\Franck\Desktop\HJTInstall.exe: trouvé !
C:\Users\Mélanie\Desktop\HijackThis.lnk: trouvé !





hijackthis sypprimé et OTM supprimé également.
Après une deuxième analyse par Toolscleaner, plus rien :D

J'ai lancé la vérif, mais ce ne sera fait qu'au redémarrage du PC;
Je lance donc la defrag via O&O defrag, ce qui est assez rapide, comme utilitaire

Résultat de la vérif au plus tard demain.

Faudra absolument que tu m'indiques des logiciels "fiables" pour anti virus et anti spy ;)

sKe69 · Answer

re,

J'ai lancé la vérif, mais ce ne sera fait qu'au redémarrage du PC


donc redémarre le PC de suite ! ... tu feras la défrag apès , c'est mieux ! ... ^^

framel2324 · Answer

OK

framel2324 · Answer

voilà, tout est fini
defrag : OK
verif des erreurs : OK

Je n'ai gardé que CCcleaner et malwarebyte's dans les prog récupérés pour la désinfection.

Le PC me parait un peu plus rapide, mais c'est peut être un effet "placebo"

Toujours est il que la défragmentation a été bien plus efficace qu'elle ne l'était auparavant.
Avant, je ne descendais pas en dessous de 15% et aujourd'hui, je suis à 2.35% :D

sKe69 · Answer

bien ...

Pour ton Av (AVG8) , il est pas mal ... 

mais il faut un anti-spyware résident pour l'épauler . Choisis l'un d'eux ( c'est du gratos ) :


Télécharger Spyware Terminator :
http://www.commentcamarche.net/telecharger/telecharger 34055170 spyware terminator 
 
Mais en faisant attention ; lors de l'installation, tu dois décocher devant "installer la Crawler Bar". 
Ne pas accepter la 'Crawler Bar' !! 

Vérifie régulièrement la mise à jour. 
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png 
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé). 

Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png 

Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/

Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi. 
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )

OU ************************************************

SpywareBlaster + SpywareGuard: 


* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html 

c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable" 

tuto : https://www.malekal.com/tutorial-spywareblaster/ 


* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

( controle les mises à jour / " live update " régulièrement )

 
====================
====================
====================

Content d'avoir pu te rendre service ... ^^

Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 


=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : http://www.commentcamarche.net/faq/sujet 15645 javara indispensable

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour
 
===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> http://www.commentcamarche.net/faq/sujet 15620 wot web of trust essentiel pour l internaute avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

=================================================================
=> Rappel sur les principales causes d'infection : 


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
http://www.commentcamarche.net/faq/sujet 2981 j utilise une version piratee de windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

=================================================================
( merci le sioux ) 



Voilou ... 


bonne suite à toi .... =)


A+

framel2324 · Answer

Un énorme merci à toi pour ton aide et tout ces conseils.
Je vais tâcher d'être prudent à compter de maintenant.

Cela fait plaisir d'avoir à faire à des gens qui n'hésitent pas à rendre service et, qui plus est, le font avec une grande amabilité.

Encore un grand merci.

Bonne soirée et à bientôt (sauf pour des virus ou autres hein ... :D )

Cheval de troie dans firefox.exe et ie.exe

51 réponses

Discussions similaires

Newsletters