Help! Grosse attaque de virus
Zed
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Lors d'un surf sur le net, j'ai eu une ouverture d'Acrobat Reader intempestive un peu étrange, à laquelle je n'ai d'abord pas prêté attention, sauf qu'une minute plus tard, j'ai été attaqué par un virus qui a coupé mon firewall windows et mon antivirus (Antivir). J'ai eu un message d'erreur (façon Centre de Sécurité Windows) pour m'alerter de la présence d'un virus sur mon ordi. Une sorte de scan rapide de mon système s'est lancé ainsi qu'un certain nombre de fenêtres de commandes DOS. J'ai essayé de les fermer manuellement, puis par le gestionnaire de tâches, sans succès. Mon ordi s'est rapidement coupé et ne se relance plus, redémarrant juste avant la fin à chaque fois.
En mode sans échec, j'ai lancé un scan de Spybot, de Malwarebytes et de CC Clean, qui m'ont tous repéré pas mal de problèmes, mais qui ne me permettent toujours pas de redémarrer normalement.
Quant à Antivir, impossible de le lancer. J'ai essayer de le réinstaller: Impossible également! Le message d'erreur suivant apparait:
"Le fichier C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié. Impossible de poursuivre le setup"
J'ai essayé d'installer une ancienne version. Là, c'est le message suivant qui apparait:
"La somme CRC de C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié." et quelque chose comme (de mémoire) "Cela pourrait avoir été provoqué par un virus.
De plus aucune restauration système n'est dispo (alors que je croyais bien l'avoir activée).
Que me conseillez vous?
Ayant une partition système séparée de mes partitions de fichiers, pensez vous que je devrais essayer direct une réparation de XP? Ou le réinstaller?
Comment faire pour ne pas perdre mes fichiers persos?
Merci d'avance pour votre aide.
Lors d'un surf sur le net, j'ai eu une ouverture d'Acrobat Reader intempestive un peu étrange, à laquelle je n'ai d'abord pas prêté attention, sauf qu'une minute plus tard, j'ai été attaqué par un virus qui a coupé mon firewall windows et mon antivirus (Antivir). J'ai eu un message d'erreur (façon Centre de Sécurité Windows) pour m'alerter de la présence d'un virus sur mon ordi. Une sorte de scan rapide de mon système s'est lancé ainsi qu'un certain nombre de fenêtres de commandes DOS. J'ai essayé de les fermer manuellement, puis par le gestionnaire de tâches, sans succès. Mon ordi s'est rapidement coupé et ne se relance plus, redémarrant juste avant la fin à chaque fois.
En mode sans échec, j'ai lancé un scan de Spybot, de Malwarebytes et de CC Clean, qui m'ont tous repéré pas mal de problèmes, mais qui ne me permettent toujours pas de redémarrer normalement.
Quant à Antivir, impossible de le lancer. J'ai essayer de le réinstaller: Impossible également! Le message d'erreur suivant apparait:
"Le fichier C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié. Impossible de poursuivre le setup"
J'ai essayé d'installer une ancienne version. Là, c'est le message suivant qui apparait:
"La somme CRC de C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié." et quelque chose comme (de mémoire) "Cela pourrait avoir été provoqué par un virus.
De plus aucune restauration système n'est dispo (alors que je croyais bien l'avoir activée).
Que me conseillez vous?
Ayant une partition système séparée de mes partitions de fichiers, pensez vous que je devrais essayer direct une réparation de XP? Ou le réinstaller?
Comment faire pour ne pas perdre mes fichiers persos?
Merci d'avance pour votre aide.
A voir également:
- Help! Grosse attaque de virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
46 réponses
Même message d'erreur avec cette nouvelle version de ComboFix.
Qu'est-ce que je peux faire, maintenant?
Et est-ce que je ne risque pas de contaminer mon PC sain via ma clé USB avec tous ces transferts?
Qu'est-ce que je peux faire, maintenant?
Et est-ce que je ne risque pas de contaminer mon PC sain via ma clé USB avec tous ces transferts?
1/ pour voir si le pc sur lequel tu télécharge est sain ou pas et pour l'immuniser contre les infection circulant par les clés usb:
▶ Télécharge FindyKill sur ton bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
▶ Télécharge FindyKill sur ton bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
pour combofix télécharge le depuis l'ordi non infecté
puis renomme le en killfix.exe
puis tranfere le sur ton ordi infecté via la clé et colle un rapport avec
puis renomme le en killfix.exe
puis tranfere le sur ton ordi infecté via la clé et colle un rapport avec
sinon combofix déja renommé ici:
http://sd-1.archive-host.com/membres/up/193094576412487685/KIllfix.exe
http://sd-1.archive-host.com/membres/up/193094576412487685/KIllfix.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci de ton aide, jlpjlp.
Voici le rapport de Findykill sur mon PC "sain".
(Sauf que ma clé USB semble avoir été grillée par son passage sur l'autre système. Mon "Lecteur MP3" n'apparait plus dans l'explorateur Windows. (Il ne s'allume même pas quand je l'insère dans la prise USB).
Est-ce qu'il y a un moyen de la sauver, ou elle est définitivement foutue?
Je suis bon pour copier les logiciels nécéssaires sur un CD-RW.
############################## | FindyKill V6.006 |
# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:30:24 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\windows\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="Zed"
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\ZED\Temporary Internet Files |
################## | All Drives ... |
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.006 ! |
Voici le rapport de Findykill sur mon PC "sain".
(Sauf que ma clé USB semble avoir été grillée par son passage sur l'autre système. Mon "Lecteur MP3" n'apparait plus dans l'explorateur Windows. (Il ne s'allume même pas quand je l'insère dans la prise USB).
Est-ce qu'il y a un moyen de la sauver, ou elle est définitivement foutue?
Je suis bon pour copier les logiciels nécéssaires sur un CD-RW.
############################## | FindyKill V6.006 |
# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:30:24 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\windows\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="Zed"
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\ZED\Temporary Internet Files |
################## | All Drives ... |
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.006 ! |
Pardon, j'ai essayé de rebrancher ma clé USB. En fait, elle fonctionne; j'avais simplement du mal l'insérer.
C'est que ces histoires me stressent pas mal. Désolé. Voilà le nouveau rapport.
############################## | FindyKill V6.006 |
# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:43:48 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 991,97 Mo (247,16 Mo free) [LECTEUR MP3] # FAT
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\windows\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="Zed"
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\ZED\Temporary Internet Files |
################## | All Drives ... |
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.006 ! |
C'est que ces histoires me stressent pas mal. Désolé. Voilà le nouveau rapport.
############################## | FindyKill V6.006 |
# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:43:48 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) #
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 991,97 Mo (247,16 Mo free) [LECTEUR MP3] # FAT
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\windows\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="Zed"
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\ZED\Temporary Internet Files |
################## | All Drives ... |
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.006 ! |
Bon. J'ai essayer de renommer ComboFix, mais çà m'a donné le même message d'erreur, comme quoi "It's NOT SAFE to continue" et que je suis peut-être infecté par "Virut". Idem avec le fichier déjà renommé. Et pareil en lui donnant encore un autre petit nom au hasard.
D'après ce que j'ai lu, Virut a l'air d'être une sacrée sal*perie. Je commence vraiment à flipper.
D'après ce que j'ai lu, Virut a l'air d'être une sacrée sal*perie. Je commence vraiment à flipper.
Et comme je ne sais plus trop quoi faire pour le moment, je me suis dit qu'un nouveau log d'HijackThis pourrait peut-être être utile pour voir ou on en est.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:16, on 16/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA5968] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6719] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1888] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4090] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA668] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC13] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4886] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2023] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4286] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9533] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2242] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3327] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9138] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4895] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7153] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2248] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9335] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC507] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9603] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7990] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2596] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1415] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" -z -o
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:16, on 16/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA5968] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6719] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1888] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4090] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA668] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC13] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4886] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2023] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4286] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9533] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2242] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3327] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9138] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4895] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7153] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2248] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9335] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC507] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9603] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7990] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2596] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1415] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" -z -o
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
ok . Fais findykill option 2 . Tu n'as pas viré ce qui est dans la sauvegarde(quarantaine ) de spybot alors fais le ou même vire le dossier spybot en allant dans poste de travail puis c puis prog files (cela correspond aux lignes dans hijackthis contenant spybotdéleting et qui montrent des rootkits actifs dans la sauvegarde de spybot et non du virut). Puis mets un rapport rsit car plus complet que hijackthis
J'ai bien installé FindyKill et lancé l'option 2 (suppression). Le PC n'a pas pu redémarrer autrement qu'en mode sans échec, donc je ne sais pas si il a pu finir son boulot, et je n'ai pas de rapport à poster.
Il me restait bien un dossier Spybot, mais vide, en dehors d'un sous-dossier d'aide avec 2 fichiers dedans. Je les ai quand même tous virés, mais les "spybotdeleting" paraissent toujours actifs.
Voilà mon rapport RSIT (il n'a pas créé de fichier info.txt, cette fois, c'est normal?)
Logfile of random's system information tool 1.06 (written by random/random)
Run by Zed at 2009-07-17 10:51:12
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 19 GB (63%) free of 30 GB
Total RAM: 3036 MB (91% free)
HijackThis download failed
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-06-27 16896000]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-06-18 98304]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2008-06-19 2830848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 77824]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-06-17 150040]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-06-17 170520]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-06-17 141848]
"GEST"== []
"PAC7311_Monitor"=C:\WINDOWS\PixArt\PAC7311\Monitor.exe [2006-11-03 339968]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-05-24 148888]
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [2007-03-09 153136]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [2009-07-15 1797880]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FindyKill"=C:\FindyKill\FindyKill.cmd [2009-07-14 80153]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1715200]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=command.com /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingD7969"=cmd.exe /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingB700"=command.com /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingD1296"=cmd.exe /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingB4827"=command.com /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingD8157"=cmd.exe /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingB8042"=command.com /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingD9365"=cmd.exe /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingB6989"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingD5922"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingB1296"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingD9362"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingB8901"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingD4514"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingB3067"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingD9249"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingB3552"=command.com /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingD9564"=cmd.exe /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingB5625"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingD9746"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingB2428"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"SpybotDeletingD75"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
C:\Program Files\DNA\btdna.exe [2009-06-28 318272]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase28Panel]
C:\Program Files\TerraTec\PHASE 22 & 28 ControlPanel\Protecmixer.exe [2003-08-29 245760]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Zed^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2006-10-26 98632]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3
"odserv"=3
"Microsoft Office Groove Audit Service"=3
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-06-11 212992]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rbadma.sys]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\javaw.exe"="C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\java.exe"="C:\Program Files\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
""="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:rundll32"
"C:\WINDOWS\fonts\services.exe"="C:\WINDOWS\fonts\services.exe:*:Enabled:services.exe"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
======List of files/folders created in the last 1 months======
2009-07-17 10:42:38 ----D---- C:\FindyKill
2009-07-17 00:52:21 ----D---- C:\Avenger
2009-07-17 00:52:21 ----A---- C:\avenger.txt
2009-07-16 17:16:06 ----D---- C:\Qoobox
2009-07-16 17:01:09 ----A---- C:\WINDOWS\system32\CF12366.exe
2009-07-16 17:01:06 ----A---- C:\Bug.txt
2009-07-16 01:10:52 ----D---- C:\rsit
2009-07-16 01:10:08 ----A---- C:\RSIT.exe
2009-07-16 01:08:31 ----D---- C:\Program Files\Trend Micro
2009-07-15 23:43:18 ----A---- C:\WINDOWS\ntbtlog.txt
2009-07-15 20:56:38 ----D---- C:\Documents and Settings\All Users\Application Data\comodo
2009-07-15 20:56:38 ----A---- C:\WINDOWS\system32\guard32.dll
2009-07-15 20:56:32 ----D---- C:\Program Files\COMODO
2009-07-15 20:13:00 ----A---- C:\WINDOWS\wininit.ini
2009-07-15 00:51:17 ----A---- C:\WINDOWS\system32\81.tmp
2009-07-15 00:51:12 ----A---- C:\WINDOWS\system32\7D.tmp
2009-07-15 00:51:11 ----A---- C:\WINDOWS\system32\7C.tmp
2009-07-15 00:50:45 ----D---- C:\Documents and Settings\All Users\Application Data\10022654
2009-07-14 12:56:53 ----D---- C:\Program Files\Nero
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs\Ahead
2009-07-14 12:56:53 ----D---- C:\Documents and Settings\All Users\Application Data\Nero
2009-07-02 21:50:26 ----D---- C:\WINDOWS\system32\appmgmt
2009-07-02 15:53:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-07-02 15:53:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-07-02 15:53:38 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-07-02 15:53:35 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-07-02 15:53:32 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-07-02 15:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-07-02 15:53:21 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-07-02 15:52:30 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-07-02 15:52:27 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-07-02 15:52:24 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-07-02 15:52:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-07-02 15:52:14 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-02 15:52:08 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-07-02 15:52:05 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-07-02 15:52:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-07-02 15:51:59 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-07-02 15:51:50 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-07-02 15:51:41 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-07-02 15:51:38 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-07-02 15:51:35 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2009-07-02 15:51:24 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-07-02 15:51:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-07-02 15:51:08 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-02 15:51:05 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-07-02 15:51:02 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-07-02 15:50:59 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-07-02 15:50:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-07-02 15:50:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-02 15:50:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-02 15:50:47 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-07-02 15:50:44 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-07-02 15:50:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-07-02 15:50:38 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-07-02 15:50:37 ----D---- C:\Program Files\MSXML 4.0
2009-07-02 15:50:29 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-07-02 15:16:10 ----D---- C:\Program Files\CDBurnerXP
2009-07-02 15:00:55 ----D---- C:\Documents and Settings\Zed\Application Data\DeepBurner
2009-07-02 14:57:28 ----D---- C:\Program Files\Astonsoft
2009-07-02 10:46:44 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2009-07-02 10:46:33 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-07-02 01:13:59 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-07-02 01:13:59 ----D---- C:\WINDOWS\system32\PreInstall
2009-07-02 01:13:59 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-07-02 01:13:58 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-07-02 01:13:58 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\muweb.dll
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-07-01 12:22:20 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-07-01 11:55:25 ----D---- C:\Documents and Settings\Zed\Application Data\Malwarebytes
2009-07-01 11:55:21 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-01 11:55:21 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-06-30 17:21:54 ----D---- C:\Program Files\Avira
2009-06-30 17:21:54 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
2009-06-30 17:15:20 ----D---- C:\Program Files\VS Revo Group
2009-06-29 18:41:25 ----D---- C:\Temp
2009-06-29 14:17:20 ----D---- C:\Documents and Settings\Zed\Application Data\Canneverbe_Limited
2009-06-28 11:32:18 ----D---- C:\Documents and Settings\Zed\Application Data\BitTorrent
2009-06-28 11:32:09 ----D---- C:\Program Files\DNA
2009-06-28 11:32:09 ----D---- C:\Documents and Settings\Zed\Application Data\DNA
2009-06-28 11:32:08 ----D---- C:\Program Files\BitTorrent
======List of files/folders modified in the last 1 months======
2009-07-17 10:49:12 ----RD---- C:\Program Files
2009-07-17 10:46:37 ----D---- C:\WINDOWS
2009-07-17 01:09:42 ----D---- C:\WINDOWS\system32
2009-07-16 17:00:36 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 23:43:47 ----D---- C:\Program Files\Mozilla Firefox
2009-07-15 23:42:57 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-15 21:16:16 ----D---- C:\WINDOWS\Minidump
2009-07-15 20:41:53 ----A---- C:\WINDOWS\DUMP48ef.tmp
2009-07-15 20:12:58 ----SD---- C:\WINDOWS\Tasks
2009-07-15 20:01:36 ----D---- C:\WINDOWS\Temp
2009-07-15 01:18:06 ----D---- C:\WINDOWS\system32\drivers
2009-07-15 01:14:49 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 00:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-15 00:50:30 ----D---- C:\Documents and Settings\Zed\Application Data\foobar2000
2009-07-14 20:05:17 ----D---- C:\WINDOWS\Prefetch
2009-07-14 13:02:21 ----SHD---- C:\WINDOWS\Installer
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs
2009-07-14 12:50:25 ----D---- C:\Program Files\Nero 7 Ultra edition
2009-07-11 17:06:51 ----HD---- C:\WINDOWS\inf
2009-07-08 22:23:46 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-02 20:04:02 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-02 19:59:42 ----D---- C:\WINDOWS\system32\wbem
2009-07-02 19:59:41 ----D---- C:\WINDOWS\AppPatch
2009-07-02 15:53:36 ----D---- C:\Program Files\Messenger
2009-07-02 15:53:27 ----D---- C:\Program Files\Microsoft Works
2009-07-02 15:53:12 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-07-02 15:53:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-07-02 15:52:05 ----D---- C:\WINDOWS\WinSxS
2009-07-02 15:51:56 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-07-01 19:19:53 ----D---- C:\WINDOWS\security
2009-06-30 17:26:56 ----D---- C:\WINDOWS\Debug
2009-06-30 00:05:43 ----D---- C:\Documents and Settings\Zed\Application Data\Vso
2009-06-29 12:27:52 ----D---- C:\WINDOWS\Help
2009-06-22 14:09:42 ----D---- C:\Documents and Settings\Zed\Application Data\dvdcss
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 zcqqsfncc7;zcqqsfncc7.sys; C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys [2009-07-15 40192]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-03 12288]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
S1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
S1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-07-15 99856]
S1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-07-15 31504]
S1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
S1 rbadma;RAMDAC GPU Controller; C:\WINDOWS\system32\rbadma.sys []
S1 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-13 28520]
S2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
S2 terd;terd; C:\WINDOWS\system32\drivers\lubj.sys []
S2 zwxxbyp;zwxxbyp; C:\WINDOWS\system32\drivers\vezyvpb.sys []
S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-06-11 6021184]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-06-27 4742656]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2008-04-29 108032]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 PAC7311;Trust Webcam Live; C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-01-28 47360]
S3 Protec;PHASE WDM Audio; C:\WINDOWS\system32\drivers\Protec.sys [2007-04-13 69664]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-06-16 109184]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb_rndis;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2008-04-13 12800]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe []
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [2009-07-15 634616]
S2 GEST Service;GEST Service for program management.; C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-11 80392]
S2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 58880]
S3 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 286208]
S4 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S4 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S4 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
-----------------EOF-----------------
Il me restait bien un dossier Spybot, mais vide, en dehors d'un sous-dossier d'aide avec 2 fichiers dedans. Je les ai quand même tous virés, mais les "spybotdeleting" paraissent toujours actifs.
Voilà mon rapport RSIT (il n'a pas créé de fichier info.txt, cette fois, c'est normal?)
Logfile of random's system information tool 1.06 (written by random/random)
Run by Zed at 2009-07-17 10:51:12
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 19 GB (63%) free of 30 GB
Total RAM: 3036 MB (91% free)
HijackThis download failed
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-06-27 16896000]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-06-18 98304]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2008-06-19 2830848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 77824]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-06-17 150040]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-06-17 170520]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-06-17 141848]
"GEST"== []
"PAC7311_Monitor"=C:\WINDOWS\PixArt\PAC7311\Monitor.exe [2006-11-03 339968]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-05-24 148888]
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [2007-03-09 153136]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [2009-07-15 1797880]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FindyKill"=C:\FindyKill\FindyKill.cmd [2009-07-14 80153]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1715200]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=command.com /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingD7969"=cmd.exe /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingB700"=command.com /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingD1296"=cmd.exe /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingB4827"=command.com /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingD8157"=cmd.exe /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingB8042"=command.com /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingD9365"=cmd.exe /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingB6989"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingD5922"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingB1296"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingD9362"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingB8901"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingD4514"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingB3067"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingD9249"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingB3552"=command.com /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingD9564"=cmd.exe /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingB5625"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingD9746"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingB2428"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"SpybotDeletingD75"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
C:\Program Files\DNA\btdna.exe [2009-06-28 318272]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase28Panel]
C:\Program Files\TerraTec\PHASE 22 & 28 ControlPanel\Protecmixer.exe [2003-08-29 245760]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Zed^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2006-10-26 98632]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3
"odserv"=3
"Microsoft Office Groove Audit Service"=3
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-06-11 212992]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rbadma.sys]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\javaw.exe"="C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\java.exe"="C:\Program Files\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
""="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:rundll32"
"C:\WINDOWS\fonts\services.exe"="C:\WINDOWS\fonts\services.exe:*:Enabled:services.exe"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
======List of files/folders created in the last 1 months======
2009-07-17 10:42:38 ----D---- C:\FindyKill
2009-07-17 00:52:21 ----D---- C:\Avenger
2009-07-17 00:52:21 ----A---- C:\avenger.txt
2009-07-16 17:16:06 ----D---- C:\Qoobox
2009-07-16 17:01:09 ----A---- C:\WINDOWS\system32\CF12366.exe
2009-07-16 17:01:06 ----A---- C:\Bug.txt
2009-07-16 01:10:52 ----D---- C:\rsit
2009-07-16 01:10:08 ----A---- C:\RSIT.exe
2009-07-16 01:08:31 ----D---- C:\Program Files\Trend Micro
2009-07-15 23:43:18 ----A---- C:\WINDOWS\ntbtlog.txt
2009-07-15 20:56:38 ----D---- C:\Documents and Settings\All Users\Application Data\comodo
2009-07-15 20:56:38 ----A---- C:\WINDOWS\system32\guard32.dll
2009-07-15 20:56:32 ----D---- C:\Program Files\COMODO
2009-07-15 20:13:00 ----A---- C:\WINDOWS\wininit.ini
2009-07-15 00:51:17 ----A---- C:\WINDOWS\system32\81.tmp
2009-07-15 00:51:12 ----A---- C:\WINDOWS\system32\7D.tmp
2009-07-15 00:51:11 ----A---- C:\WINDOWS\system32\7C.tmp
2009-07-15 00:50:45 ----D---- C:\Documents and Settings\All Users\Application Data\10022654
2009-07-14 12:56:53 ----D---- C:\Program Files\Nero
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs\Ahead
2009-07-14 12:56:53 ----D---- C:\Documents and Settings\All Users\Application Data\Nero
2009-07-02 21:50:26 ----D---- C:\WINDOWS\system32\appmgmt
2009-07-02 15:53:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-07-02 15:53:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-07-02 15:53:38 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-07-02 15:53:35 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-07-02 15:53:32 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-07-02 15:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-07-02 15:53:21 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-07-02 15:52:30 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-07-02 15:52:27 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-07-02 15:52:24 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-07-02 15:52:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-07-02 15:52:14 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-02 15:52:08 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-07-02 15:52:05 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-07-02 15:52:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-07-02 15:51:59 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-07-02 15:51:50 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-07-02 15:51:41 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-07-02 15:51:38 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-07-02 15:51:35 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2009-07-02 15:51:24 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-07-02 15:51:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-07-02 15:51:08 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-02 15:51:05 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-07-02 15:51:02 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-07-02 15:50:59 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-07-02 15:50:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-07-02 15:50:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-02 15:50:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-02 15:50:47 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-07-02 15:50:44 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-07-02 15:50:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-07-02 15:50:38 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-07-02 15:50:37 ----D---- C:\Program Files\MSXML 4.0
2009-07-02 15:50:29 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-07-02 15:16:10 ----D---- C:\Program Files\CDBurnerXP
2009-07-02 15:00:55 ----D---- C:\Documents and Settings\Zed\Application Data\DeepBurner
2009-07-02 14:57:28 ----D---- C:\Program Files\Astonsoft
2009-07-02 10:46:44 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2009-07-02 10:46:33 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-07-02 01:13:59 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-07-02 01:13:59 ----D---- C:\WINDOWS\system32\PreInstall
2009-07-02 01:13:59 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-07-02 01:13:58 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-07-02 01:13:58 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\muweb.dll
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-07-01 12:22:20 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-07-01 11:55:25 ----D---- C:\Documents and Settings\Zed\Application Data\Malwarebytes
2009-07-01 11:55:21 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-01 11:55:21 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-06-30 17:21:54 ----D---- C:\Program Files\Avira
2009-06-30 17:21:54 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
2009-06-30 17:15:20 ----D---- C:\Program Files\VS Revo Group
2009-06-29 18:41:25 ----D---- C:\Temp
2009-06-29 14:17:20 ----D---- C:\Documents and Settings\Zed\Application Data\Canneverbe_Limited
2009-06-28 11:32:18 ----D---- C:\Documents and Settings\Zed\Application Data\BitTorrent
2009-06-28 11:32:09 ----D---- C:\Program Files\DNA
2009-06-28 11:32:09 ----D---- C:\Documents and Settings\Zed\Application Data\DNA
2009-06-28 11:32:08 ----D---- C:\Program Files\BitTorrent
======List of files/folders modified in the last 1 months======
2009-07-17 10:49:12 ----RD---- C:\Program Files
2009-07-17 10:46:37 ----D---- C:\WINDOWS
2009-07-17 01:09:42 ----D---- C:\WINDOWS\system32
2009-07-16 17:00:36 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 23:43:47 ----D---- C:\Program Files\Mozilla Firefox
2009-07-15 23:42:57 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-15 21:16:16 ----D---- C:\WINDOWS\Minidump
2009-07-15 20:41:53 ----A---- C:\WINDOWS\DUMP48ef.tmp
2009-07-15 20:12:58 ----SD---- C:\WINDOWS\Tasks
2009-07-15 20:01:36 ----D---- C:\WINDOWS\Temp
2009-07-15 01:18:06 ----D---- C:\WINDOWS\system32\drivers
2009-07-15 01:14:49 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 00:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-15 00:50:30 ----D---- C:\Documents and Settings\Zed\Application Data\foobar2000
2009-07-14 20:05:17 ----D---- C:\WINDOWS\Prefetch
2009-07-14 13:02:21 ----SHD---- C:\WINDOWS\Installer
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs
2009-07-14 12:50:25 ----D---- C:\Program Files\Nero 7 Ultra edition
2009-07-11 17:06:51 ----HD---- C:\WINDOWS\inf
2009-07-08 22:23:46 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-02 20:04:02 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-02 19:59:42 ----D---- C:\WINDOWS\system32\wbem
2009-07-02 19:59:41 ----D---- C:\WINDOWS\AppPatch
2009-07-02 15:53:36 ----D---- C:\Program Files\Messenger
2009-07-02 15:53:27 ----D---- C:\Program Files\Microsoft Works
2009-07-02 15:53:12 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-07-02 15:53:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-07-02 15:52:05 ----D---- C:\WINDOWS\WinSxS
2009-07-02 15:51:56 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-07-01 19:19:53 ----D---- C:\WINDOWS\security
2009-06-30 17:26:56 ----D---- C:\WINDOWS\Debug
2009-06-30 00:05:43 ----D---- C:\Documents and Settings\Zed\Application Data\Vso
2009-06-29 12:27:52 ----D---- C:\WINDOWS\Help
2009-06-22 14:09:42 ----D---- C:\Documents and Settings\Zed\Application Data\dvdcss
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 zcqqsfncc7;zcqqsfncc7.sys; C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys [2009-07-15 40192]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-03 12288]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
S1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
S1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-07-15 99856]
S1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-07-15 31504]
S1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
S1 rbadma;RAMDAC GPU Controller; C:\WINDOWS\system32\rbadma.sys []
S1 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-13 28520]
S2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
S2 terd;terd; C:\WINDOWS\system32\drivers\lubj.sys []
S2 zwxxbyp;zwxxbyp; C:\WINDOWS\system32\drivers\vezyvpb.sys []
S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-06-11 6021184]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-06-27 4742656]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2008-04-29 108032]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 PAC7311;Trust Webcam Live; C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-01-28 47360]
S3 Protec;PHASE WDM Audio; C:\WINDOWS\system32\drivers\Protec.sys [2007-04-13 69664]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-06-16 109184]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb_rndis;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2008-04-13 12800]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe []
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [2009-07-15 634616]
S2 GEST Service;GEST Service for program management.; C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-11 80392]
S2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 58880]
S3 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 286208]
S4 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S4 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S4 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
-----------------EOF-----------------
Et revoilà un rapport HijackThis, puisque RSIT ne le fait pas direct:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:23, on 17/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [FindyKill] C:\FindyKill\FindyKill.cmd /2ndpassFR
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:23, on 17/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [FindyKill] C:\FindyKill\FindyKill.cmd /2ndpassFR
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)
:processes
explorer.exe
:services
zcqqsfncc7
zwxxbyp
terd
UACmmujnmsqlhyenxtlt
:files
C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys
C:\WINDOWS\system32\rbadma.sys
C:\WINDOWS\system32\drivers\lubj.sys
C:\WINDOWS\system32\drivers\vezyvpb.sys
C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\81.tmp
C:\WINDOWS\system32\7D.tmp
C:\WINDOWS\system32\7C.tmp
C:\Qoobox
C:\WINDOWS\system32\CF12366.exe
C:\Bug.txt
C:\Documents and Settings\All Users\Application Data\10022654
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=-
"SpybotDeletingD7969"=-
"SpybotDeletingB700"=-
"SpybotDeletingD1296"=-
"SpybotDeletingB4827"=-
"SpybotDeletingD8157"=-
"SpybotDeletingB8042"=-
"SpybotDeletingD9365"=-
"SpybotDeletingB6989"=-
"SpybotDeletingD5922"=-
"SpybotDeletingB1296"=-
"SpybotDeletingD9362"=-
"SpybotDeletingB8901"=-
"SpybotDeletingD4514"=-
"SpybotDeletingB3067"=-
"SpybotDeletingD9249"=-
"SpybotDeletingB3552"=-
"SpybotDeletingD9564"=-
"SpybotDeletingB5625"=-
"SpybotDeletingD9746"=-
"SpybotDeletingB2428"=-
"SpybotDeletingD75"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rbadma.sys]
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
____________________________
repare windows:
http://www.informatruc.com/reparer-windows-xp/
___________________________
dis nous comment se comporte ton pc
et remets un rapport hijakhcits/RSIT
a plus
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)
:processes
explorer.exe
:services
zcqqsfncc7
zwxxbyp
terd
UACmmujnmsqlhyenxtlt
:files
C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys
C:\WINDOWS\system32\rbadma.sys
C:\WINDOWS\system32\drivers\lubj.sys
C:\WINDOWS\system32\drivers\vezyvpb.sys
C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\81.tmp
C:\WINDOWS\system32\7D.tmp
C:\WINDOWS\system32\7C.tmp
C:\Qoobox
C:\WINDOWS\system32\CF12366.exe
C:\Bug.txt
C:\Documents and Settings\All Users\Application Data\10022654
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=-
"SpybotDeletingD7969"=-
"SpybotDeletingB700"=-
"SpybotDeletingD1296"=-
"SpybotDeletingB4827"=-
"SpybotDeletingD8157"=-
"SpybotDeletingB8042"=-
"SpybotDeletingD9365"=-
"SpybotDeletingB6989"=-
"SpybotDeletingD5922"=-
"SpybotDeletingB1296"=-
"SpybotDeletingD9362"=-
"SpybotDeletingB8901"=-
"SpybotDeletingD4514"=-
"SpybotDeletingB3067"=-
"SpybotDeletingD9249"=-
"SpybotDeletingB3552"=-
"SpybotDeletingD9564"=-
"SpybotDeletingB5625"=-
"SpybotDeletingD9746"=-
"SpybotDeletingB2428"=-
"SpybotDeletingD75"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rbadma.sys]
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
____________________________
repare windows:
http://www.informatruc.com/reparer-windows-xp/
___________________________
dis nous comment se comporte ton pc
et remets un rapport hijakhcits/RSIT
a plus
Bonsoir,
J'en suis à la réparation de Windows mais j'ai un GROS problème. Je récapitule :
J'ai lancé OTM qui a l'air d'avoir fait son travail. Au premier redémarrage, FINDYKILL a automatiquement éffectué un nouveau scan qui n'a apparemment détecté aucun problème.
Je me suis donc lancé dans la réparation de Windows XP. Sauf que je me retrouve complètement bloqué à l'étape "installation de périphériques", le message suivant étant apparu :
"Le logiciel que vous êtes en train d'installer pour ce matériel :
Realtek High Definition Audio (la carte son intégrée à la carte mère)
n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Continuer l'installation de ce logiciel peut mettre en péril ou déstabiliser le bon fonctionnement de votre système, etc...
Voulez vous continuer l'installation du logiciel pour ce matériel?"
Et là, je dois choisir oui ou non, mais mon clavier et ma souris n'étant pas disponibles à ce stade de l'installation, je ne peux pas faire ma sélection et l'installation reste donc bloquée (à 34 minutes de la fin).
Une précision : je n'avais pas reçu ce message lors de la première installation il y'a quelques mois.
Que puis-je faire ?
Couper le PC et abandonner la réparation (mon système Windows sera-t-il encore valide dans ce cas, et dans le cas contraire, perdrai-je mes données sur les autres partitions du PC ?) ?
Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème?
Ce genre de problème est rageant, à une demi-heure de récupérer un PC stable.
J'en suis à la réparation de Windows mais j'ai un GROS problème. Je récapitule :
J'ai lancé OTM qui a l'air d'avoir fait son travail. Au premier redémarrage, FINDYKILL a automatiquement éffectué un nouveau scan qui n'a apparemment détecté aucun problème.
Je me suis donc lancé dans la réparation de Windows XP. Sauf que je me retrouve complètement bloqué à l'étape "installation de périphériques", le message suivant étant apparu :
"Le logiciel que vous êtes en train d'installer pour ce matériel :
Realtek High Definition Audio (la carte son intégrée à la carte mère)
n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Continuer l'installation de ce logiciel peut mettre en péril ou déstabiliser le bon fonctionnement de votre système, etc...
Voulez vous continuer l'installation du logiciel pour ce matériel?"
Et là, je dois choisir oui ou non, mais mon clavier et ma souris n'étant pas disponibles à ce stade de l'installation, je ne peux pas faire ma sélection et l'installation reste donc bloquée (à 34 minutes de la fin).
Une précision : je n'avais pas reçu ce message lors de la première installation il y'a quelques mois.
Que puis-je faire ?
Couper le PC et abandonner la réparation (mon système Windows sera-t-il encore valide dans ce cas, et dans le cas contraire, perdrai-je mes données sur les autres partitions du PC ?) ?
Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème?
Ce genre de problème est rageant, à une demi-heure de récupérer un PC stable.
2 choix:
sinon redemarre en mode normal puis
lance le verificateur de fichier windows
http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant#verificateur de fichiers systeme
____________________
Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème?
oui cela pourrait
sinon il faudra abandonner
si tu as mets le rapport otmovit
puis un nouveau rapport rsit et dis si tu as le net et si oui
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne
https://www.informatruc.com
sinon redemarre en mode normal puis
lance le verificateur de fichier windows
http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant#verificateur de fichiers systeme
____________________
Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème?
oui cela pourrait
sinon il faudra abandonner
si tu as mets le rapport otmovit
puis un nouveau rapport rsit et dis si tu as le net et si oui
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne
https://www.informatruc.com
Tu me confirmes que je peux interrompre la réparation en cours sans compromettre mon système et mes fichiers ?
J'ai essayé de brancher un clavier ps2 en cours de réparation, ça n'a rien donné.
Je vais maintenant essayer de couper, de connecter ce clavier et de relancer la réparation à zéro, en priant pour que tout se passe bien pour mon système.
Je posterais les rapports dès que j'aurai fini la réparation (si je peux).
PS : jusqu'à quelle heure penses tu être dispo ce soir au cas où j'aurais encore besoin de ton aide (dont je te suis très reconnaissant) ?
Je vais maintenant essayer de couper, de connecter ce clavier et de relancer la réparation à zéro, en priant pour que tout se passe bien pour mon système.
Je posterais les rapports dès que j'aurai fini la réparation (si je peux).
PS : jusqu'à quelle heure penses tu être dispo ce soir au cas où j'aurais encore besoin de ton aide (dont je te suis très reconnaissant) ?
Bon.
Lors de cette nouvelle réparation avant laquelle j'avais connecté mes deux claviers, cette fois, ma souris fonctionnait et m'a permis de sélectionner OUI pour trois installations soi-disant problèmatiques: ma carte son intégrée, ma carte son additionnelle et ma webcam.
Puis tout s'est déroulé normalement jusqu'à un double message final:
" Installation logicielle
"Dessin de Croix Blanche sur fond Rouge" n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Ce logiciel ne sera pas installé. Contactez votre administrateur système."
Après çà, le PC a redémarré. Passé l' écran Windows, je ne suis pas arrivé au message de bienvenue sur fond bleu, mais à un écran complètement noir, où je ne peux absolument rien faire.
Idem après avoir demandé au PC de booter sur le Disque Dur.
En Mode sans Echec, c'est beaucoup plus joli puisque j'ai droit à un tiret qui clignote en haut à gauche de mon écran.
En résumé, il semblerait que Windows ait été effacé. (par un virus? ou par Microsoft?)
Après cet échec total, je ne sais pas ce que sont devenus mes fichiers, et je suis dans un état qui balance entre la colère, la tristesse et le dégoût.
Merci quand même pour ton aide, jlpjlp, mais là je suis vraiment déprimé.
On dit que la nuit porte conseil... On verra...
Lors de cette nouvelle réparation avant laquelle j'avais connecté mes deux claviers, cette fois, ma souris fonctionnait et m'a permis de sélectionner OUI pour trois installations soi-disant problèmatiques: ma carte son intégrée, ma carte son additionnelle et ma webcam.
Puis tout s'est déroulé normalement jusqu'à un double message final:
" Installation logicielle
"Dessin de Croix Blanche sur fond Rouge" n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Ce logiciel ne sera pas installé. Contactez votre administrateur système."
Après çà, le PC a redémarré. Passé l' écran Windows, je ne suis pas arrivé au message de bienvenue sur fond bleu, mais à un écran complètement noir, où je ne peux absolument rien faire.
Idem après avoir demandé au PC de booter sur le Disque Dur.
En Mode sans Echec, c'est beaucoup plus joli puisque j'ai droit à un tiret qui clignote en haut à gauche de mon écran.
En résumé, il semblerait que Windows ait été effacé. (par un virus? ou par Microsoft?)
Après cet échec total, je ne sais pas ce que sont devenus mes fichiers, et je suis dans un état qui balance entre la colère, la tristesse et le dégoût.
Merci quand même pour ton aide, jlpjlp, mais là je suis vraiment déprimé.
On dit que la nuit porte conseil... On verra...
Pour réparer tu peux tenter
1/ de réparer à partir d'un cd de Windows
http://www.vista-xp.fr/forum/topic428.html
2/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage)
https://www.malekal.com/tutoriels-logiciels/
3/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....)
http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.html
http://ubcd.sourceforge.net//
4/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer
https://ubuntu.com/
http://knoppix-fr.org/
https://www.commentcamarche.net/list 4883 knoppix utiliser knoppix comme cd de secours
https://www.commentcamarche.net/list 15947 sauver vos documents d un windows mort avec un cd live linux
5/
sinon pour récupérer tes données on tenter de désinfecter:
tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données
ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave
tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté
6/ malheureusement si rien ne marche il faudra formater et réinstaller xp
puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update)
http://www.depannetonpc.net/er-windows.html
http://www.ybet.be/depanner/install_windows.php
1/ de réparer à partir d'un cd de Windows
http://www.vista-xp.fr/forum/topic428.html
2/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage)
https://www.malekal.com/tutoriels-logiciels/
3/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....)
http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.html
http://ubcd.sourceforge.net//
4/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer
https://ubuntu.com/
http://knoppix-fr.org/
https://www.commentcamarche.net/list 4883 knoppix utiliser knoppix comme cd de secours
https://www.commentcamarche.net/list 15947 sauver vos documents d un windows mort avec un cd live linux
5/
sinon pour récupérer tes données on tenter de désinfecter:
tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données
ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave
tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté
6/ malheureusement si rien ne marche il faudra formater et réinstaller xp
puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update)
http://www.depannetonpc.net/er-windows.html
http://www.ybet.be/depanner/install_windows.php
si tu es obligé de formater ..
Essaie pour récupérer tes données effacées:
en gratuit:
restoration:
https://www.01net.com/actualites/
et pc inspector file recovry:
https://www.01net.com/
ou recuva:
http://www.ccleaner.com/go/recuva.com
ou free undelete:
http://www.officerecovery.com/freeundelete/
ou en payant
recuperez vos fichiers
http://www.microapp.com/logiciel_recuperez_vos_fichiers_edition_2007_9114.html
ou smart data recovry
https://www.01net.com/
Essaie pour récupérer tes données effacées:
en gratuit:
restoration:
https://www.01net.com/actualites/
et pc inspector file recovry:
https://www.01net.com/
ou recuva:
http://www.ccleaner.com/go/recuva.com
ou free undelete:
http://www.officerecovery.com/freeundelete/
ou en payant
recuperez vos fichiers
http://www.microapp.com/logiciel_recuperez_vos_fichiers_edition_2007_9114.html
ou smart data recovry
https://www.01net.com/
