Win32/rootkit ODG Résolu/Fermé

Question

Bonjour,

Voilà mon antivirus a détecté cela mais ne parvient pas a le nétoyer avec NOD32 ...

J'ai suivi un post disant de faire l'analyse avec RSIT je crois , voilà le resultat :

info.txt logfile of random's system information tool 1.06 2009-06-30 19:54:10

======Uninstall list======

Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Program Files\Common Files\Adobe\Installers\719d6f144d0c086a0dfa7ff76bb9ac1\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{3D7E3EC9-46CF-4359-9289-39CE01DFB82F}
Adobe Photoshop Elements 6.0-->msiexec /I {F54AC413-D2C6-4A24-B324-370C223C6250}
Adobe Reader 9.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Setup-->MsiExec.exe /I{FF11004C-F42A-4A31-9BCF-7F5C8FDBE53C}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Alps Pointing-device for VAIO-->C:\Program Files\Apoint\Uninstap.exe ADDREMOVE
Apple Mobile Device Support-->MsiExec.exe /I{659B48CD-0608-4ED5-94C0-0B6C87114F10}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ArcSoft Magic-i Visual Effects Installer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9AB83A3C-604D-4B4F-AA25-A23A3FC39844}\Setup.exe" -l0x40c 
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Browser Address Error Redirector-->regsvr32 /u /s "C:\PROGRA~1\GOOGLE~1\BAE.dll"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Click to Disc Editor 1.1 Upgrade-->C:\Program Files\InstallShield Installation Information\{B87A01CD-CE69-413B-BA7D-037EB63BB353}\setup.exe -runfromtemp -l0x040c
DirectXInstallService-->MsiExec.exe /X{098122AB-C605-4853-B441-C0A4EB359B75}
DiskAid 2.56-->"C:\Program Files\DigiDNA\DiskAid\unins000.exe"
EMC 10 Content-->MsiExec.exe /X{FDB46DE7-9045-47BB-970A-3E4ED5369E03}
EVEREST Ultimate Edition v5.00-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Free YouTube to iPhone Converter version 2.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to iPhone Converter\unins000.exe"
Free YouTube to iPod Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to iPod Converter\unins000.exe"
GearDrvs-->MsiExec.exe /I{206FD69B-F9FE-4164-81BD-D52552BC9C23}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HDAUDIO SoftV92 Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_104D0200\UIU32m.exe -U -ISnSZIRXz.inf
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
IDT Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{07D8511D-C9FE-4A93-933F-EAA5C8F20095}\setup.exe" -l0x40c -remove -removeonly
Instant Mode-->C:\Program Files\InstallShield Installation Information\{E6707034-D7A4-49B1-94D0-F5AACE46F06C}\setup.exe -runfromtemp -l0x0009 -removeonly
iPhone Tunnel Suite 2.7 BETA-->"C:\Program Files\iPhone Tunnel Suite 2.7 BETA\unins000.exe"
iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
LimeWire PRO 5.1.3-->"C:\Program Files\LimeWire\uninstall.exe"
Magic Bullet Looks Studio-->C:\Windows\unvise32.exe C:\Program Files\Pinnacle\Studio 12\Plugins\RTFx\mblooksstudio.log
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Movies2iPhone .74b-->C:\Program Files\Movies2iPhone\uninst.exe
MSXML 4.0 SP2 (KB925672)-->MsiExec.exe /I{A9CF9052-F4A0-475D-A00F-A8388C62DD63}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Norton 360-->MsiExec.exe /I{63A6E9A9-A190-46D4-9430-2DB28654AFD8}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenMG Limited Patch 4.7-07-15-19-01-->c:\Program Files\Common Files\Sony Shared\OpenMG\HotFixes\HotFix4.7-07-15-19-01\HotFixSetup\setup.exe /u
OpenMG Secure Module 4.7.00-->c:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{CCD663AE-610D-4BDF-AAB0-E914B044527D} UNINSTALL
Outil de restauration de données VAIO-->C:\Program Files\InstallShield Installation Information\{57B955CE-B5D3-495D-AF1B-FAEE0540BFEF}\setup.exe -runfromtemp -l0x040c -removeonly
Pando-->MsiExec.exe /I{AB480DA0-7EE9-465D-9C12-4CDE65BF18FB}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
Pilote vidéo Pinnacle-->MsiExec.exe /X{5EB90C06-964F-4195-B83E-BD7E55C88415}
Pinnacle Studio 12 Ultimate Plugins-->MsiExec.exe /I{D1860E6E-520E-4380-8433-E58E8F88B473}
Pinnacle Studio 12-->MsiExec.exe /I{D041EB9E-890A-4098-8F94-51DA194AC72A}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Roxio Activation Module-->MsiExec.exe /I{07159635-9DFE-4105-BFC0-2817DB540C68}
Roxio Activation Module-->MsiExec.exe /I{EC877639-07AB-495C-BFD1-D63AF9140810}
Roxio BackOnTrack-->MsiExec.exe /I{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}
Roxio Central Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}
Roxio Central Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}
Roxio Central Core-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB}
Roxio Central Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693}
Roxio Central Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}
Roxio CinePlayer Decoder Pack-->MsiExec.exe /I{8D337F77-BE7F-41A2-A7CB-D5A63FD7049B}
Roxio CinePlayer-->MsiExec.exe /I{1B683082-8791-4D00-8ADE-6C8986FCCC68}
Roxio Disc Gallery-->MsiExec.exe /I{3E67A8DA-FE7B-4160-8465-F5571EA18753}
Roxio Easy Media Creator 10 Suite-->MsiExec.exe /I{BF83EFE2-C9F0-40D4-841C-2066668C1D7A}
Roxio File Backup-->MsiExec.exe /I{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}
Roxio MediaShare-->MsiExec.exe /I{9A9A1828-31D1-4590-A99F-022B7237AFAE}
Roxio Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
RS Somnífero-->"C:\Program Files\Rico Software\RS Somnífero\desinstalar.exe"
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Setting Utility Series-->"C:\Program Files\InstallShield Installation Information\{A7DA438C-2E43-4C20-BFDA-C1F4A6208558}\setup.exe" -runfromtemp -l0x040c -removeonly
SmartSound Quicktracks Plugin-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} 
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
TI NoteFolio Creator-->MsiExec.exe /I{F07AE5AB-516C-4CEB-A0AA-AD083B9182C6}
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Unibet Poker-->C:\MICROG~1\Poker\UNIBET~1\UNIBET~1\UNWISE.EXE C:\MICROG~1\Poker\UNIBET~1\UNIBET~1\INSTALL.LOG
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 Help (KB957246)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {80E46078-C1C5-4AE8-8744-3EAFC812E118}
Update for Outlook 2007 Junk Email Filter (kb968503)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5DD98950-4D10-4B79-8BF6-59726705207D}
VAIO Camera Capture Utility-->"C:\Program Files\InstallShield Installation Information\{6D2576EC-A0E9-418A-A09A-409933A3B6F4}\setup.exe" -runfromtemp -l0x040c -removeonly
VAIO DVD Menu Data Basic-->C:\Program Files\InstallShield Installation Information\{596BED91-A1D8-4DF1-8CD1-1C777F7588AC}\setup.exe -runfromtemp -l0x040c -removeonly
Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WIDCOMM Bluetooth Software 6.1.0.2000-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D}
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
WinSCP 4.1.8-->"C:\Program Files\WinSCP\unins000.exe"
WinZip 11.2-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B6}
Wireless Switch Setting Utility-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A0F3EF9-68EE-49E9-A05B-ED5B82DF63E5}\setup.exe" -l0x40c  -removeonly

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: BitDefender Antivirus (disabled)
AS: BitDefender AntiSpam (disabled)
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: PC-Romain
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Service SSTP (Secure Socket Tunneling Protocol) qui n'a pas pu démarrer en raison de l'erreur : 
Le serveur RPC n'est pas disponible.
Record Number: 104412
Source Name: Service Control Manager
Time Written: 20090630174812.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 7000
Message: Le service Parallel port driver n'a pas pu démarrer en raison de l'erreur : 
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
Record Number: 104442
Source Name: Service Control Manager
Time Written: 20090630174812.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 7000
Message: Le service Planificateur LiveUpdate automatique n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 104454
Source Name: Service Control Manager
Time Written: 20090630174812.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 7000
Message: Le service SessionLauncher n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 104461
Source Name: Service Control Manager
Time Written: 20090630174812.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 4321
Message: Le nom "DOMICILE       :1d" n'a pas pu être enregistré sur l'interface avec l'adresse IP 192.168.0.103. L'ordinateur avec l'adresse IP 192.168.0.100 n'a pas permis que le nom soit réclamé par cet ordinateur.
Record Number: 104500
Source Name: netbt
Time Written: 20090630175309.142594-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-Romain
Event Code: 16387
Message: Échec de la création du cliché instantané en raison d’une erreur signalée par ASR Writer.  Plus d’infos : Le nombre maximal de secrets pouvant être stockés sur un système donné a été dépassé. (0x80070565).
Record Number: 2257436
Source Name: SPP
Time Written: 20090630134308.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 8193
Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\system32undll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation ; Description = Point de contrôle planifié ; Hr = 0x800423f4).
Record Number: 2257437
Source Name: System Restore
Time Written: 20090630134308.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 8210
Message: Impossible de créer le point de restauration planifié. Informations supplémentaires : (0x800423f4).
Record Number: 2257438
Source Name: System Restore
Time Written: 20090630134308.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 1000
Message: Application défaillante HijackThis.exe, version 2.0.0.2, horodatage 0x466838c1, module défaillant HijackThis.exe, version 2.0.0.2, horodatage 0x466838c1, code d’exception 0x80000003, décalage d’erreur 0x00142830, ID du processus 0x558, heure de début de l’application 0x01c9f9a91aaf5960.
Record Number: 2257455
Source Name: Application Error
Time Written: 20090630173505.000000-000
Event Type: Erreur
User: 

Computer Name: PC-Romain
Event Code: 1000
Message: Application défaillante HijackThis.exe, version 2.0.0.2, horodatage 0x466838c1, module défaillant HijackThis.exe, version 2.0.0.2, horodatage 0x466838c1, code d’exception 0x80000003, décalage d’erreur 0x00142830, ID du processus 0x13c, heure de début de l’application 0x01c9f9a9cc5938c0.
Record Number: 2257458
Source Name: Application Error
Time Written: 20090630174003.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-Romain
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x2c97d1
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC-BUREAU
	Adresse du réseau source :	192.168.0.103
	Port source :		1028

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 22444
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090324181717.589800-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Romain
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0x2c97d1

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 22445
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090324181717.605400-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Romain
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x2c97ed
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC-BUREAU
	Adresse du réseau source :	192.168.0.103
	Port source :		1029

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 22446
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090324181717.621000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Romain
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0x2c97ed

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 22447
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090324181717.621000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-Romain
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x2cb9b4
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC-BUREAU
	Adresse du réseau source :	192.168.0.103
	Port source :		1046

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 22448
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090324181849.959200-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\Pinnacle\Shared Files\C:\Program Files\DMV\MaxTV4\plugins;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"configsetroot"=%SystemRoot%\ConfigSetRoot
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------



Logfile of random's system information tool 1.06 (written by random/random)
Run by Romain at 2009-06-30 19:53:51
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 79 GB (44%) free of 180 GB
Total RAM: 2046 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:08, on 30/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Users\Romain\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1N8UTH1S\RSIT[1].exe
C:\Program Files	rend micro\Romain.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1D253E1-0545-40A2-9B07-897D366BA524}: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8348BA9-2476-4B56-8229-460498461837}: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1c9b0b335a8c7c6) (gupdate1c9b0b335a8c7c6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
O23 - Service: SessionLauncher - Unknown owner - C:\Users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

destroyer · Answer

Voilà :

Rapport GenProc 2.598 [3] - 01/07/2009 à 1:11:41 
@ Windows Vista Service Pack 1 - Mode normal
@ Internet Explorer (7.0.6001.18000) [Navigateur par défaut]

# Etape 1/ Télécharge :
 
- WORT http://pc-system.fr/ (dj QUIOU) sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Romain *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[3]" sur ton bureau).


# Etape 2/ 

 Double-clique sur le fichier WORT.exe et sélectionne le Bureau à l'aide du bouton "Parcourir". Suis les instructions et double-clique sur le fichier Wareout Removal Tool.bat qui vient d'être créé sur le Bureau. Sélectionne l'option 1 et valide par entrée.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport WORT_report.txt situé dans C:\Wort ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [3] GenProc 2.598 01/07/2009 à  1:11:44 
WareOut:le 01/07/2009 à  1:11:48 
[HKEY_LOCAL_MACHINE\system\controlset001\services	cpip\parameters\interfaces\{B1D253E1-0545-40A2-9B07-897D366BA524}] 
   NameServer	REG_SZ         	85.255.112.190,85.255.112.232

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à  1:12:20 ~~

Narco!4 · Answer

suit ces manips    ;)

destroyer · Answer

===== Rapport WareOut Removal Tool ===== 
 
version 3.2 
 
analyse effectuée le 01/07/2009 à 13:17:15,44 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\Romain\AppData\Roaming\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\Romain\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B1D253E1-0545-40A2-9B07-897D366BA524}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D8348BA9-2476-4B56-8229-460498461837}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B1D253E1-0545-40A2-9B07-897D366BA524}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D8348BA9-2476-4B56-8229-460498461837}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{B1D253E1-0545-40A2-9B07-897D366BA524}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{D8348BA9-2476-4B56-8229-460498461837}]
    NameServer    REG_SZ    85.255.112.190,85.255.112.232
 
 
~~~~ Recherche du Rootkit kd???.exe ~~~~ 
 


 
 
~~~~ Recherche d'infections dans C:\Users\Romain\AppData\Local\Temp\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\Romain\Start Menu\Programs\ ~~~~ 
 
 
~~~~ Nettoyage du registre ~~~~ 
 
 
~~~~ Tentative de réparation des entrées suivantes: ~~~~ 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" 
 
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] 
 
~~~~ Vérification: ~~~~ 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System    REG_SZ    

 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________ 



Rapport GenProc 2.598 [4] - 01/07/2009 à 13:27:09 
@ Windows Vista Service Pack 1 - Mode normal
@ Internet Explorer (7.0.6001.18000) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

# Etape 3/
Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php


 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:31, on 01/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\GenProc\outil\Romain_GenProc.exe
C:\Windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1c9b0b335a8c7c6) (gupdate1c9b0b335a8c7c6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
O23 - Service: SessionLauncher - Unknown owner - C:\Users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Narco!4 · Answer

# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

# Etape 3/
Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php

destroyer · Answer

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\GenProc: trouvé !
C:\Rsit: trouvé !
C:\WORT: trouvé !
C:\GenProc\outil\hijackthis.log: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Romain\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\Romain\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Romain\Desktop\HijackThis.lnk: trouvé !
C:\Users\Romain\Desktop\HJTInstall.exe: trouvé !
C:\Users\Romain\Desktop\WareOut Removal Tool.bat: trouvé !
C:\Users\Romain\Desktop\Genproc - Raccourci.lnk: trouvé !
C:\Users\Romain\Desktop\WORT.exe: trouvé !
C:\Users\Romain\Desktop\WORT: trouvé !
C:\Users\Romain\Desktop\Nettoyage\HijackThis.lnk: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Romain\Desktop\HijackThis.lnk: supprimé !
C:\Users\Romain\Desktop\HJTInstall.exe: supprimé !
C:\Users\Romain\Desktop\WareOut Removal Tool.bat: supprimé !
C:\Users\Romain\Desktop\Nettoyage\HijackThis.lnk: supprimé !
C:\GenProc\outil\hijackthis.log: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Romain\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Romain\Desktop\Genproc - Raccourci.lnk: supprimé !
C:\Users\Romain\Desktop\WORT.exe: supprimé !
C:\GenProc: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\WORT: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Romain\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !
C:\Users\Romain\Desktop\WORT: supprimé !

Fichiers temporaires nettoyés !

Narco!4 · Answer

[*] Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
[*] Double clique combofix.exe et suis les instructions.
[*] Installe la console de récupération si proposé et continue.
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

destroyer67 · Answer

Il me dit : combix a cessé de fonctionner .... comme quan dje veux lancer Hijackthis le même probleme ..

Je fais comment ?

Narco!4 · Answer

essaie en mode sans echec

destroyer67 · Answer

ComboFix 09-07-01.01 - Romain 01/07/2009 19:50.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2046.936 [GMT 2:00]
Lancé depuis: c:\users\Romain\Desktop\ComboFix.exe
AV: avast! antivirus 4.7.1098 [VPS 090630-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: BitDefender AntiSpam *disabled* (Updated) {8B2012EC-32D4-494F-BC03-832DB3BDF911}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\is-8M7H6.exe
c:\windows\system32\drivers\gxvxcyrxbwtqxiqjqttppulmriskrwqymxnbb.sys
c:\windows\system32\gxvxccount
c:\windows\system32\gxvxcvmnrnunqeckdecybgsxwxciswphnmhxo.dll
c:\windows\system32\gxvxcvxrdsajpdphxvtxrdcxckwepcxugsbsx.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS
-------\Legacy_GXVXCSERV.SYS


(((((((((((((((((((((((((((((   Fichiers créés du 2009-06-01 au 2009-07-01  ))))))))))))))))))))))))))))))))))))
.

2009-07-01 17:16 . 2009-02-05 20:07	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-07-01 17:16 . 2009-02-05 20:07	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-07-01 14:02 . 2009-04-23 12:42	636928	----a-w-	c:\windows\system32\localspl.dll
2009-07-01 14:02 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-07-01 12:15 . 2009-02-05 20:06	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-07-01 12:15 . 2009-02-05 20:06	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-07-01 12:15 . 2009-02-05 20:04	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-07-01 12:15 . 2009-02-05 20:11	1256296	----a-w-	c:\windows\system32\aswBoot.exe
2009-07-01 12:15 . 2009-02-05 20:06	51792	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2009-07-01 12:14 . 2009-07-01 12:14	--------	d-----w-	c:\program files\Alwil Software
2009-07-01 11:44 . 2008-06-19 15:24	28544	----a-w-	c:\windows\system32\drivers\pavboot.sys
2009-07-01 11:44 . 2009-07-01 11:44	--------	d-----w-	c:\program files\Panda Security
2009-06-30 23:02 . 2009-06-30 23:02	--------	d-----w-	C:\UAC
2009-06-30 23:01 . 2009-07-01 11:41	--------	d-----w-	C:\GenProc
2009-06-14 20:32 . 2009-06-14 20:55	--------	d-----w-	c:\programdata\NOS
2009-06-14 20:32 . 2009-06-14 20:55	--------	d-----w-	c:\program files\NOS
2009-06-14 16:27 . 2009-06-14 16:27	--------	d-----w-	c:\programdata\Emjysoft
2009-06-14 16:27 . 2009-06-14 16:27	--------	d-----w-	c:\users\Romain\AppData\Roaming\Emjysoft
2009-06-06 15:19 . 2009-06-18 23:08	--------	d-----w-	c:\programdata\Electronic Arts
2009-06-06 15:17 . 2008-09-05 00:22	447752	----a-w-	c:\windows\system32\vp6vfw.dll
2009-06-06 15:17 . 2009-06-06 15:17	10134	----a-r-	c:\users\Romain\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-06 15:17 . 2009-06-06 15:17	--------	d-----w-	c:\program files\Microsoft WSE
2009-06-06 15:07 . 2009-06-06 15:18	--------	d-----w-	c:\program files\Electronic Arts
2009-06-05 11:00 . 2009-06-05 11:02	7	----a-w-	c:\windows\sbacknt.bin
2009-06-05 10:59 . 2009-06-05 11:02	152904	----a-w-	c:\windows\system32\vghd.scr
2009-06-05 10:59 . 2009-06-05 11:06	--------	d-----w-	c:\users\Romain\AppData\Roaming\vghd
2009-06-03 22:16 . 2009-06-03 22:16	--------	d-----w-	c:\program files\iPod
2009-06-03 22:16 . 2009-06-03 22:16	--------	d-----w-	c:\program files\iTunes
2009-06-03 22:12 . 2009-06-03 22:13	--------	d-----w-	c:\program files\QuickTime
2009-06-03 22:04 . 2009-06-03 22:04	75048	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-01 18:06 . 2007-11-02 10:02	12	----a-w-	c:\windows\bthservsdp.dat
2009-07-01 18:05 . 2007-11-02 12:30	--------	d-----w-	c:\programdata\Microsoft Help
2009-07-01 17:11 . 2008-10-19 17:12	--------	d-----w-	c:\users\Romain\AppData\Roaming\uTorrent
2009-07-01 11:41 . 2008-10-07 16:31	--------	d-----w-	c:\program files\Trend Micro
2009-06-30 15:39 . 2008-10-07 16:58	--------	d-----w-	c:\users\Romain\AppData\Roaming\LimeWire
2009-06-27 11:59 . 2009-05-18 20:44	362240	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-06-21 18:54 . 2007-11-02 10:57	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-20 21:33 . 2008-12-15 16:04	--------	d-----w-	c:\program files\iPhone Tunnel Suite 2.7 BETA
2009-06-20 18:00 . 2008-12-06 12:58	--------	d-----w-	c:\program files\TuneUp Utilities 2009
2009-06-19 08:08 . 2008-10-07 17:28	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-06-18 23:12 . 2008-10-07 17:28	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2009-06-18 09:01 . 2006-11-02 15:48	681712	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-18 09:01 . 2006-11-02 15:48	128882	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-16 15:28 . 2009-02-15 17:39	--------	d-----w-	c:\users\Romain\AppData\Roaming\DiskAid
2009-06-10 15:44 . 2008-10-07 14:56	80846	----a-w-	c:\users\Romain\AppData\Roaming
vModes.dat
2009-06-08 18:56 . 2009-01-30 21:07	--------	d-----w-	c:\program files\MSN Messenger
2009-06-08 18:42 . 2008-10-08 15:54	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-06 18:57 . 2008-11-11 17:54	--------	d-----w-	c:\users\Romain\AppData\Roaming\Microgaming
2009-06-06 14:44 . 2009-03-12 18:21	--------	d-----w-	c:\program files\Yahoo!
2009-06-06 12:06 . 2009-01-12 16:33	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE760.tmp
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE75F.tmp
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE75E.tmp
2009-06-03 22:20 . 2008-10-13 18:43	--------	d-----w-	c:\programdata\Apple
2009-06-03 22:16 . 2008-10-13 18:43	--------	d-----w-	c:\program files\Common Files\Apple
2009-06-03 17:04 . 2009-02-02 22:00	--------	d-----w-	c:\program files\LimeWire
2009-05-29 23:22 . 2009-03-31 15:21	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-05-29 18:00 . 2008-10-09 18:17	3371383	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-29 11:36 . 2009-05-29 11:36	39424	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-05-29 11:36 . 2009-05-29 11:36	2060288	----a-w-	c:\windows\system32\usbaaplrc.dll
2009-05-26 11:20 . 2008-10-07 16:53	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2008-10-07 16:53	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-05-18 20:56 . 2007-11-02 12:41	--------	d-----w-	c:\program files\Java
2009-05-17 17:20 . 2007-11-02 09:56	--------	d-----w-	c:\program files\Google
2009-05-16 21:59 . 2008-10-07 14:56	--------	d-----w-	c:\users\Romain\AppData\Roaming\Sony Corporation
2009-05-16 21:59 . 2007-11-02 12:36	--------	d-----w-	c:\program files\Sony
2009-05-14 18:22 . 2008-11-26 22:10	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-05-13 18:00 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-06 19:31 . 2008-10-07 14:56	160480	----a-w-	c:\users\Romain\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-05 19:25 . 2008-10-07 21:29	--------	d-----w-	c:\program files\Microsoft Works
2009-05-04 15:29 . 2009-04-15 17:36	--------	d-----w-	c:\users\Romain\AppData\Roaming\U3
2009-04-24 16:05 . 2009-07-01 14:01	827904	----a-w-	c:\windows\system32\wininet.dll
2009-04-24 16:02 . 2009-07-01 14:01	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-24 13:44 . 2009-07-01 14:01	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-02-13 19:30 . 2009-02-13 19:30	23	--sha-w-	c:\windows\System32\edacded0_x.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2007-08-14 19:05	98304	----a-w-	c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start
"Pando"="c:\program files\Pando Networks\Pando\Pando.exe" /Minimized
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{7DA4246B-1404-480D-92B6-E51E876D76F2}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{F26427AA-9D7D-4191-AAA9-12266E99B7D1}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{BDE2623B-1711-4FBF-B28B-45FF09E99526}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{905D9AE4-3175-47D5-ACDF-DC55AC39E9A7}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{6BD22369-8512-4E12-AFA7-AADA2856B05B}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{4D448602-C5DE-4E34-BCB2-0903AE72E35B}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{32D31176-3F51-4E5C-8F53-71A514F12C3B}c:\program files\common files\roxio shared\10.0\sharedcom\roxwatchtray10.exe"= UDP:c:\program files\common filesoxio shared\10.0\sharedcomoxwatchtray10.exe:RoxMMTrayApp Module
"UDP Query User{72A793D4-8069-46D7-BA6A-E48A5D422378}c:\program files\common files\roxio shared\10.0\sharedcom\roxwatchtray10.exe"= TCP:c:\program files\common filesoxio shared\10.0\sharedcomoxwatchtray10.exe:RoxMMTrayApp Module
"TCP Query User{113F926D-4412-4674-9C8B-341F6F0CD64C}c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe"= UDP:c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe:iTunnel
"UDP Query User{DD83DC34-65BF-4C0D-9673-64B141B5D318}c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe"= TCP:c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe:iTunnel
"{E2936296-A90E-4B5E-B02D-620542763F23}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{3043FF13-988F-475F-9227-81357BB2FB4C}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{05D773F9-46B0-4B25-B947-694F19C69B5A}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{C114FF4C-7624-405F-B045-AE338684A1D3}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{310A8ED4-20B8-42B1-BAD4-5E2C3E46598F}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi
"{00314549-BA53-407C-8950-D2F5FA15FA08}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi
"TCP Query User{1313A507-6EF5-40F3-8A05-DB8E2838F299}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{2992D4DA-8686-4BA0-9354-DE9AC67BED05}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{89B9615C-723C-4AC2-BECC-B1E27D06DC50}c:\program files\pando networks\pando\pando.exe"= UDP:c:\program files\pando networks\pando\pando.exe:pando
"UDP Query User{58A2EB3B-FD5A-45B9-8761-64F71078F2C0}c:\program files\pando networks\pando\pando.exe"= TCP:c:\program files\pando networks\pando\pando.exe:pando
"{FDAF74A7-198D-45D9-B45F-8AD448950A00}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{CB07C5DB-B574-42E5-BD8D-CFD697C07F88}"= UDP:g:omain\Logiciels\LimeWire\LimeWire.exe:LimeWire
"{40698FDB-5209-4270-9146-3CE286110BA2}"= TCP:g:omain\Logiciels\LimeWire\LimeWire.exe:LimeWire
"{938AD13A-211F-460D-81D4-D6F426F0703A}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{B5C2B195-D145-4A8B-8C5D-90DD155B461A}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{48D2B7D2-45BC-4C05-8181-5B5C3D018377}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{3BDA4C13-9301-4D73-842C-8B8CA392AA03}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{17975F4E-F547-4D45-B825-9B76C257637F}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{D48D10EC-D27F-4911-8A1C-A0BB1C7DE553}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 pavboot;pavboot;c:\windows\System32\drivers\pavboot.sys [01/07/2009 13:44 28544]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [01/07/2009 19:16 114768]
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11/09/2007 01:45 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [01/07/2009 19:16 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [01/07/2009 14:15 51792]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [06/02/2009 14:23 727720]
R2 epfwwfp;epfwwfp;c:\windows\System32\drivers\epfwwfp.sys [06/02/2009 14:24 38240]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31/03/2009 17:22 194832]
R3 MBAMProtector;MBAMProtector;c:\windows\System32\drivers\mbam.sys [07/10/2008 18:53 19096]
R3 R5U870FLx86;R5U870 UVC Lower Filter  ;c:\windows\System32\drivers\R5U870FLx86.sys [02/11/2007 19:46 75008]
R3 R5U870FUx86;R5U870 UVC Upper Filter  ;c:\windows\System32\drivers\R5U870FUx86.sys [02/11/2007 19:46 43904]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\System32\drivers\SFEP.sys [02/11/2007 19:46 9344]
R3 ti21sony;ti21sony;c:\windows\System32\drivers	i21sony.sys [02/11/2007 19:46 812544]
S2 gupdate1c9b0b335a8c7c6;Service Google Update (gupdate1c9b0b335a8c7c6);c:\program files\Google\Update\GoogleUpdate.exe [29/03/2009 23:13 133104]
S2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files\Roxio\Digital Home 10\RoxioUpnpService10.exe [24/08/2007 15:53 362992]
S2 RoxLiveShare10;LiveShare P2P Server 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [24/08/2007 15:52 309744]
S2 RoxWatch10;Roxio Hard Drive Watcher 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [24/08/2007 15:52 166384]
S2 SessionLauncher;SessionLauncher;c:\users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe --> c:\users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe [?]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [02/11/2007 13:56 28464]
S3 MBAMDrvService;MBAMDrvService;c:\windows\System32\drivers\mbam.sys [07/10/2008 18:53 19096]
S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [24/08/2007 15:53 72176]
S3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [24/08/2007 15:52 1083888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2009-07-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-29 21:13]

2009-07-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-29 21:13]

2009-07-01 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-21 11:14]

2009-06-30 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Romain.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-31 11:20]

2009-07-01 c:\windows\Tasks\Malwarebytes' Scheduled Update for Romain.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-31 11:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-01 20:08
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(300)
c:\windows\system32\btncopy.dll
c:\program files\WinSCP\DragExt.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\stacsv.exe
c:\windows\System32\drivers\XAudio.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\conime.exe
c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\System32\dllhost.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2009-07-01 20:17 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-07-01 18:17

Avant-CF: 80 861 376 512 octets libres
Après-CF: 82 549 321 728 octets libres

279	--- E O F ---	2009-07-01 16:11

destroyer67 · Answer

jai du faire une restauration systeme après exécution de combofix car mon ordinateur redémarrer tout seul avant de rentrer mon mot de passe même en mode sans echec ....

destroyer67 · Answer

Voilà le nouveau après la restauration systeme :

ComboFix 09-07-01.04 - Romain 02/07/2009 13:11.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2046.1147 [GMT 2:00]
Lancé depuis: c:\users\Romain\Desktop\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: BitDefender AntiSpam *disabled* (Updated) {8B2012EC-32D4-494F-BC03-832DB3BDF911}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\13f470.msi
c:\windows\Installer\1a01e8.msi
c:\windows\Installer\57964e.msi

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-06-02 au 2009-07-02  ))))))))))))))))))))))))))))))))))))
.

2009-07-02 11:17 . 2009-07-02 11:17	--------	d-----w-	c:\users\Romain\AppData\Local	emp
2009-07-01 14:02 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-07-01 12:14 . 2009-07-02 10:37	--------	d-----w-	c:\program files\Alwil Software
2009-06-30 23:02 . 2009-06-30 23:02	--------	d-----w-	C:\UAC
2009-06-30 23:01 . 2009-07-01 11:41	--------	d-----w-	C:\GenProc
2009-06-14 20:32 . 2009-06-14 20:55	--------	d-----w-	c:\programdata\NOS
2009-06-14 20:32 . 2009-06-14 20:55	--------	d-----w-	c:\program files\NOS
2009-06-14 16:27 . 2009-06-14 16:27	--------	d-----w-	c:\programdata\Emjysoft
2009-06-14 16:27 . 2009-06-14 16:27	--------	d-----w-	c:\users\Romain\AppData\Roaming\Emjysoft
2009-06-06 15:19 . 2009-06-18 23:08	--------	d-----w-	c:\programdata\Electronic Arts
2009-06-06 15:17 . 2008-09-05 00:22	447752	----a-w-	c:\windows\system32\vp6vfw.dll
2009-06-06 15:17 . 2009-06-06 15:17	10134	----a-r-	c:\users\Romain\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-06 15:17 . 2009-06-06 15:17	--------	d-----w-	c:\program files\Microsoft WSE
2009-06-06 15:07 . 2009-06-06 15:18	--------	d-----w-	c:\program files\Electronic Arts
2009-06-05 11:00 . 2009-06-05 11:02	7	----a-w-	c:\windows\sbacknt.bin
2009-06-05 10:59 . 2009-06-05 11:02	152904	----a-w-	c:\windows\system32\vghd.scr
2009-06-05 10:59 . 2009-06-05 11:06	--------	d-----w-	c:\users\Romain\AppData\Roaming\vghd
2009-06-03 22:16 . 2009-06-03 22:16	--------	d-----w-	c:\program files\iPod
2009-06-03 22:16 . 2009-06-03 22:16	--------	d-----w-	c:\program files\iTunes
2009-06-03 22:12 . 2009-06-03 22:13	--------	d-----w-	c:\program files\QuickTime
2009-06-03 22:04 . 2009-06-03 22:04	75048	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-02 10:34 . 2007-11-02 10:02	12	----a-w-	c:\windows\bthservsdp.dat
2009-07-01 22:38 . 2009-03-19 09:34	--------	d-----w-	c:\program files\ESET
2009-07-01 18:05 . 2007-11-02 12:30	--------	d-----w-	c:\programdata\Microsoft Help
2009-07-01 17:11 . 2008-10-19 17:12	--------	d-----w-	c:\users\Romain\AppData\Roaming\uTorrent
2009-07-01 11:41 . 2008-10-07 16:31	--------	d-----w-	c:\program files\Trend Micro
2009-06-30 15:39 . 2008-10-07 16:58	--------	d-----w-	c:\users\Romain\AppData\Roaming\LimeWire
2009-06-27 11:59 . 2009-05-18 20:44	362240	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-06-21 18:54 . 2007-11-02 10:57	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-20 21:33 . 2008-12-15 16:04	--------	d-----w-	c:\program files\iPhone Tunnel Suite 2.7 BETA
2009-06-20 18:00 . 2008-12-06 12:58	--------	d-----w-	c:\program files\TuneUp Utilities 2009
2009-06-18 23:12 . 2008-10-07 17:28	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2009-06-18 09:01 . 2006-11-02 15:48	681712	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-18 09:01 . 2006-11-02 15:48	128882	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-16 15:28 . 2009-02-15 17:39	--------	d-----w-	c:\users\Romain\AppData\Roaming\DiskAid
2009-06-10 15:44 . 2008-10-07 14:56	80846	----a-w-	c:\users\Romain\AppData\Roaming
vModes.dat
2009-06-08 18:56 . 2009-01-30 21:07	--------	d-----w-	c:\program files\MSN Messenger
2009-06-08 18:42 . 2008-10-08 15:54	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-06 18:57 . 2008-11-11 17:54	--------	d-----w-	c:\users\Romain\AppData\Roaming\Microgaming
2009-06-06 12:06 . 2009-01-12 16:33	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE760.tmp
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE75F.tmp
2009-06-06 12:06 . 2009-06-06 12:06	0	----a-w-	c:\windows\system32\RENE75E.tmp
2009-06-03 22:20 . 2008-10-13 18:43	--------	d-----w-	c:\programdata\Apple
2009-06-03 22:16 . 2008-10-13 18:43	--------	d-----w-	c:\program files\Common Files\Apple
2009-06-03 17:04 . 2009-02-02 22:00	--------	d-----w-	c:\program files\LimeWire
2009-05-29 23:22 . 2009-03-31 15:21	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-05-29 18:00 . 2008-10-09 18:17	3371383	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-29 11:36 . 2009-05-29 11:36	39424	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-05-29 11:36 . 2009-05-29 11:36	2060288	----a-w-	c:\windows\system32\usbaaplrc.dll
2009-05-26 11:20 . 2008-10-07 16:53	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2008-10-07 16:53	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-05-18 20:56 . 2007-11-02 12:41	--------	d-----w-	c:\program files\Java
2009-05-17 17:20 . 2007-11-02 09:56	--------	d-----w-	c:\program files\Google
2009-05-16 21:59 . 2008-10-07 14:56	--------	d-----w-	c:\users\Romain\AppData\Roaming\Sony Corporation
2009-05-16 21:59 . 2007-11-02 12:36	--------	d-----w-	c:\program files\Sony
2009-05-14 18:22 . 2008-11-26 22:10	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-05-13 18:00 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-06 19:31 . 2008-10-07 14:56	160480	----a-w-	c:\users\Romain\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-05 19:25 . 2008-10-07 21:29	--------	d-----w-	c:\program files\Microsoft Works
2009-05-04 15:29 . 2009-04-15 17:36	--------	d-----w-	c:\users\Romain\AppData\Roaming\U3
2009-04-24 16:05 . 2009-07-01 14:01	827904	----a-w-	c:\windows\system32\wininet.dll
2009-04-24 16:02 . 2009-07-01 14:01	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-24 13:44 . 2009-07-01 14:01	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-02-13 19:30 . 2009-02-13 19:30	23	--sha-w-	c:\windows\System32\edacded0_x.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2007-08-14 19:05	98304	----a-w-	c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start
"Pando"="c:\program files\Pando Networks\Pando\Pando.exe" /Minimized
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" /background
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"combofix"=c:\windows\system32\CF6410.exe /c c:\combofix\Combobatch.bat

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{7DA4246B-1404-480D-92B6-E51E876D76F2}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{F26427AA-9D7D-4191-AAA9-12266E99B7D1}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{BDE2623B-1711-4FBF-B28B-45FF09E99526}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{905D9AE4-3175-47D5-ACDF-DC55AC39E9A7}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{6BD22369-8512-4E12-AFA7-AADA2856B05B}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{4D448602-C5DE-4E34-BCB2-0903AE72E35B}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{32D31176-3F51-4E5C-8F53-71A514F12C3B}c:\program files\common files\roxio shared\10.0\sharedcom\roxwatchtray10.exe"= UDP:c:\program files\common filesoxio shared\10.0\sharedcomoxwatchtray10.exe:RoxMMTrayApp Module
"UDP Query User{72A793D4-8069-46D7-BA6A-E48A5D422378}c:\program files\common files\roxio shared\10.0\sharedcom\roxwatchtray10.exe"= TCP:c:\program files\common filesoxio shared\10.0\sharedcomoxwatchtray10.exe:RoxMMTrayApp Module
"TCP Query User{113F926D-4412-4674-9C8B-341F6F0CD64C}c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe"= UDP:c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe:iTunnel
"UDP Query User{DD83DC34-65BF-4C0D-9673-64B141B5D318}c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe"= TCP:c:\program files\iphone tunnel suite 2.7 beta\itunnel\itunnel.exe:iTunnel
"{E2936296-A90E-4B5E-B02D-620542763F23}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{3043FF13-988F-475F-9227-81357BB2FB4C}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{05D773F9-46B0-4B25-B947-694F19C69B5A}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{C114FF4C-7624-405F-B045-AE338684A1D3}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{310A8ED4-20B8-42B1-BAD4-5E2C3E46598F}"= UDP:c:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi
"{00314549-BA53-407C-8950-D2F5FA15FA08}"= TCP:c:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi
"TCP Query User{1313A507-6EF5-40F3-8A05-DB8E2838F299}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{2992D4DA-8686-4BA0-9354-DE9AC67BED05}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{89B9615C-723C-4AC2-BECC-B1E27D06DC50}c:\program files\pando networks\pando\pando.exe"= UDP:c:\program files\pando networks\pando\pando.exe:pando
"UDP Query User{58A2EB3B-FD5A-45B9-8761-64F71078F2C0}c:\program files\pando networks\pando\pando.exe"= TCP:c:\program files\pando networks\pando\pando.exe:pando
"{FDAF74A7-198D-45D9-B45F-8AD448950A00}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{CB07C5DB-B574-42E5-BD8D-CFD697C07F88}"= UDP:g:omain\Logiciels\LimeWire\LimeWire.exe:LimeWire
"{40698FDB-5209-4270-9146-3CE286110BA2}"= TCP:g:omain\Logiciels\LimeWire\LimeWire.exe:LimeWire
"{938AD13A-211F-460D-81D4-D6F426F0703A}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{B5C2B195-D145-4A8B-8C5D-90DD155B461A}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{48D2B7D2-45BC-4C05-8181-5B5C3D018377}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{3BDA4C13-9301-4D73-842C-8B8CA392AA03}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{17975F4E-F547-4D45-B825-9B76C257637F}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{D48D10EC-D27F-4911-8A1C-A0BB1C7DE553}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11/09/2007 01:45 124832]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [06/02/2009 14:23 727720]
R2 epfwwfp;epfwwfp;c:\windows\System32\drivers\epfwwfp.sys [06/02/2009 14:24 38240]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31/03/2009 17:22 194832]
R3 MBAMProtector;MBAMProtector;c:\windows\System32\drivers\mbam.sys [07/10/2008 18:53 19096]
R3 R5U870FLx86;R5U870 UVC Lower Filter  ;c:\windows\System32\drivers\R5U870FLx86.sys [02/11/2007 19:46 75008]
R3 R5U870FUx86;R5U870 UVC Upper Filter  ;c:\windows\System32\drivers\R5U870FUx86.sys [02/11/2007 19:46 43904]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\System32\drivers\SFEP.sys [02/11/2007 19:46 9344]
R3 ti21sony;ti21sony;c:\windows\System32\drivers	i21sony.sys [02/11/2007 19:46 812544]
S2 gupdate1c9b0b335a8c7c6;Service Google Update (gupdate1c9b0b335a8c7c6);c:\program files\Google\Update\GoogleUpdate.exe [29/03/2009 23:13 133104]
S2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files\Roxio\Digital Home 10\RoxioUpnpService10.exe [24/08/2007 15:53 362992]
S2 RoxLiveShare10;LiveShare P2P Server 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [24/08/2007 15:52 309744]
S2 RoxWatch10;Roxio Hard Drive Watcher 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [24/08/2007 15:52 166384]
S2 SessionLauncher;SessionLauncher;c:\users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe --> c:\users\Romain\AppData\Local\Temp\DX9\SessionLauncher.exe [?]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [02/11/2007 13:56 28464]
S3 MBAMDrvService;MBAMDrvService;c:\windows\System32\drivers\mbam.sys [07/10/2008 18:53 19096]
S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [24/08/2007 15:53 72176]
S3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [24/08/2007 15:52 1083888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2009-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-29 21:13]

2009-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-29 21:13]

2009-07-02 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-21 11:14]

2009-06-30 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Romain.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-31 11:20]

2009-07-01 c:\windows\Tasks\Malwarebytes' Scheduled Update for Romain.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-31 11:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-02 13:17
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2009-07-02 13:21
ComboFix-quarantined-files.txt  2009-07-02 11:21
ComboFix2.txt  2009-07-01 18:17

Avant-CF: 82 550 820 864 octets libres
Après-CF: 82 458 218 496 octets libres

232	--- E O F ---	2009-07-01 16:11

destroyer · Answer

je pense que mon problème et résolut vu que mon antivirus ne détect plus de virus .... mais j'aurais aimé une confirmation ...... ???

Romain

Win32/rootkit ODG

13 réponses

Discussions similaires