Redirection Google

Anorfwael -  
Narco!4 Messages postés 2446 Statut Contributeur -
Bonjour,
j'ai un problème que beaucoup ont, c'est a dire une redirection de certains liens google vers des sites.

je ne constate rien d'anormal sur hijackthis, je poste tout de même le rapport :

Merci d'avance de votre aide !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:47, on 10/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7047 bytes
Configuration: Windows XP
Firefox 3.5.2

5 réponses

  1. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    Bonjour,

    télécharge GenProc http://www.genproc.com/GenProc.exe

    double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
    0
  2. Anorfwael
     
    Merci de ta réponse rapide Narco!4.
    Voici le rapport Genproc :

    Rapport GenProc 2.613 [1] - 10/08/2009 à 11:20:58
    @ Windows XP Service Pack 2 - Mode normal
    @ Mozilla Firefox (3.5.2) [Navigateur par défaut]

    ~~ CM DISK ERROR ~~

    Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    # Etape 1/ Télécharge :

    - Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

    - SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri) sur le Bureau.

    - ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
    Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Wonder *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

    # Etape 2/

    Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

    # Etape 3/

    Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

    # Etape 4/

    Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

    # Etape 5/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 6/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport rapport.txt situé sur le Bureau ;
    - Le contenu du rapport TB.txt situé dans C:\ ;
    - Le contenu du rapport Combofix.txt situé dans C:\ ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ~~ Arguments de la procédure ~~

    # Détections [1] GenProc 2.613 10/08/2009 à 11:21:19
    Toolbar:le 10/08/2009 à 11:22:12 "C:\Program Files\DAEMON Tools Toolbar"
    Smitfraud:le 10/08/2009 à 11:22:14 "C:\Program Files\iCodecPack"
    TDSS:le 10/08/2009 à 11:22:24 PFROP hjgrui*

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Fin à 11:23:01 ~~
    0
  3. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    suit ces manips '
    0
  4. Anorfwael
     
    Rebonjour, j'ai suivi les manips, félicitation si tu as crée genproc, cet executable est très bien conçu.

    par contre, j'ai des petites questions : pourquoi avoir mis ce lien http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    c'est un site espion, drole d'idée pour un anti-virus. j'ai du désactiver mon pare-feu pour le télecharger.
    ensuite, comme il y a eu du rebbot de mon PC, mon anti-virus et pare-feu ont été réactivés, et j'ai du accepter des actions pas terribles, comme la surveillance d'activité de la souris et du clavier.. un peu comme un keylogger ?
    finalement mon anti-virus a découvert 2 virus lors de l'analyse de l'un des exe que u m'as fourni.
    j'ai du refuser leur accès.
    Voila, j'aurais aimé comprendre pourquoi ? merci pour ton aide, mais j'aime bien comprendre ce que je fais :)

    voici les rapports :

    SmitFraudFix v2.423

    Rapport fait à 12:21:14,68, 10/08/2009
    Executé à partir de C:\Documents and Settings\Wonder\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\iCodecPack\ supprimé
    C:\Program Files\WinMediaCodec\ supprimé
    C:\Program Files\Google\googletoolbar1.dll supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{B97E3B1E-8D05-411B-873A-BE50A8186925}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{B97E3B1E-8D05-411B-873A-BE50A8186925}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{B97E3B1E-8D05-411B-873A-BE50A8186925}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{B97E3B1E-8D05-411B-873A-BE50A8186925}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK.2

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 A01
    USER : Wonder ( Administrator )
    BOOT : Fail-safe boot
    Antivirus : AntiVir Desktop 9.0.1.30 (Activated)
    Firewall : ZoneAlarm Pro Firewall 8.0.298.004 (Activated)
    C:\ (Local Disk) - NTFS - Total:149 Go (Free:36 Go)
    D:\ (CD or DVD)
    E:\ (CD or DVD)
    I:\ (USB)
    J:\ (USB)
    K:\ (USB)
    L:\ (USB)
    M:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [2] ( 10/08/2009|12:13 )

    -----------\\ SUPPRESSION

    Supprime! - C:\Program Files\KaZaA\My Shared Folder
    Supprime! - C:\Program Files\KaZaA\rjn.a92
    Supprime! - C:\Program Files\DAEMON Tools Toolbar
    Supprime! - C:\Program Files\KaZaA

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (DENIS) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

    (Sarah) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

    (Wonder) - {DDC359D1-844A-42a7-9AA1-88A850A938A8} => chrome
    (Wonder) - {3c8e8390-2cf6-11d9-9669-0800200c9a66} => web-mail
    (Wonder) - {a6a33690-2c6a-11d9-9669-0800200c9a66} => hotmail

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="http://www.tele2.fr/startpage/adsl/fr/"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    Aucune autre infection trouvée !

    1 - "C:\ToolBar SD\TB_1.txt" - 10/08/2009|12:16 - Option : [2]

    -----------\\ Fin du rapport a 12:16:13,17

    ComboFix 09-08-09.04 - Wonder 10/08/2009 11:44.1.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1022.652 [GMT 2:00]
    Running from: c:\documents and settings\Wonder\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    * Created a new restore point
    * Resident AV is active

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Wonder\eula.txt
    C:\secure32.html
    c:\windows\system32\_000228_.tmp.dll
    c:\windows\system32\_004598_.tmp.dll
    c:\windows\system32\_004599_.tmp.dll
    c:\windows\system32\_004600_.tmp.dll
    c:\windows\system32\_004601_.tmp.dll
    c:\windows\system32\_004607_.tmp.dll
    c:\windows\system32\_004608_.tmp.dll
    c:\windows\system32\_004609_.tmp.dll
    c:\windows\system32\_004610_.tmp.dll
    c:\windows\system32\_004611_.tmp.dll
    c:\windows\system32\_004612_.tmp.dll
    c:\windows\system32\_004613_.tmp.dll
    c:\windows\system32\_004614_.tmp.dll
    c:\windows\system32\_004615_.tmp.dll
    c:\windows\system32\_004616_.tmp.dll
    c:\windows\system32\_004617_.tmp.dll
    c:\windows\system32\_004618_.tmp.dll
    c:\windows\system32\_004620_.tmp.dll
    c:\windows\system32\_004621_.tmp.dll
    c:\windows\system32\_004622_.tmp.dll
    c:\windows\system32\_004624_.tmp.dll
    c:\windows\system32\_004627_.tmp.dll
    c:\windows\system32\_004628_.tmp.dll
    c:\windows\system32\_004631_.tmp.dll
    c:\windows\system32\_004632_.tmp.dll
    c:\windows\system32\_004633_.tmp.dll
    c:\windows\system32\_004634_.tmp.dll
    c:\windows\system32\_004635_.tmp.dll
    c:\windows\system32\_004636_.tmp.dll
    c:\windows\system32\_004638_.tmp.dll
    c:\windows\system32\_004639_.tmp.dll
    c:\windows\system32\_004640_.tmp.dll
    c:\windows\system32\_004641_.tmp.dll
    c:\windows\system32\_004642_.tmp.dll
    c:\windows\system32\_004643_.tmp.dll
    c:\windows\system32\_004644_.tmp.dll
    c:\windows\system32\_004645_.tmp.dll
    c:\windows\system32\_004647_.tmp.dll
    c:\windows\system32\_004648_.tmp.dll
    c:\windows\system32\_004649_.tmp.dll
    c:\windows\system32\_004650_.tmp.dll
    c:\windows\system32\_004651_.tmp.dll
    c:\windows\system32\_004653_.tmp.dll
    c:\windows\system32\_004654_.tmp.dll
    c:\windows\system32\_004656_.tmp.dll
    c:\windows\system32\_004657_.tmp.dll
    c:\windows\system32\_004658_.tmp.dll
    c:\windows\system32\_004659_.tmp.dll
    c:\windows\system32\_004661_.tmp.dll
    c:\windows\system32\_004664_.tmp.dll
    c:\windows\system32\_004665_.tmp.dll
    c:\windows\system32\_004669_.tmp.dll
    c:\windows\system32\_004670_.tmp.dll
    c:\windows\system32\_004672_.tmp.dll
    c:\windows\system32\_004675_.tmp.dll
    c:\windows\system32\_004677_.tmp.dll
    c:\windows\system32\_004678_.tmp.dll
    c:\windows\system32\_004679_.tmp.dll
    c:\windows\system32\_004680_.tmp.dll
    c:\windows\system32\_004683_.tmp.dll
    c:\windows\system32\_004684_.tmp.dll
    c:\windows\system32\_004685_.tmp.dll
    c:\windows\system32\_004686_.tmp.dll
    c:\windows\system32\_004687_.tmp.dll
    c:\windows\system32\_004692_.tmp.dll
    c:\windows\system32\drivers\hjgruixbdritid.sys
    c:\windows\system32\hjgruiivnsecwb.dll
    c:\windows\system32\hjgruilxlcvnpy.dat
    c:\windows\system32\hjgruiwoftiqds.dll
    c:\windows\system32\hjgruiyuuyaklp.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_hjgruixviutoid
    -------\Legacy_hjgruixviutoid

    ((((((((((((((((((((((((( Files Created from 2009-07-10 to 2009-08-10 )))))))))))))))))))))))))))))))
    .

    2009-08-10 09:20 . 2009-08-10 09:20 -------- d-----w- C:\Genproc
    2009-08-10 09:05 . 2009-08-10 09:05 -------- d-----w- c:\program files\Trend Micro
    2009-08-05 12:49 . 2009-08-05 12:49 -------- d-----w- c:\documents and settings\Wonder\Local Settings\Application Data\LogiShrd
    2009-08-05 12:22 . 2008-09-26 07:52 10384 ----a-w- c:\windows\system32\drivers\LBeepKE.sys
    2009-08-05 12:21 . 2009-08-05 12:21 -------- d-----w- c:\program files\Fichiers communs\Logishrd
    2009-08-05 12:20 . 2009-08-05 12:20 -------- d-----w- c:\program files\DIFX
    2009-08-05 12:20 . 2009-08-05 12:20 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd
    2009-08-05 12:20 . 2009-08-05 12:20 -------- d-----w- c:\program files\USB TV
    2009-08-05 12:20 . 2009-08-05 12:20 -------- d-----w- c:\documents and settings\Wonder\Local Settings\Application Data\Downloaded Installations
    2009-08-05 12:14 . 2009-08-05 12:14 -------- d-----w- c:\program files\ma-config.com
    2009-08-05 12:14 . 2009-08-05 12:14 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2009-08-03 13:26 . 2009-08-03 13:26 -------- d-----w- c:\program files\iPod
    2009-07-29 10:22 . 2009-07-29 10:22 410984 ----a-w- c:\windows\system32\deploytk.dll
    2009-07-29 10:22 . 2009-07-29 10:22 152576 ----a-w- c:\documents and settings\Wonder\Application Data\Sun\Java\jre1.6.0_14\lzma.dll
    2009-07-21 16:34 . 2009-07-21 16:34 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
    2009-07-21 16:34 . 2009-07-21 16:34 -------- d-----w- c:\program files\DAEMON Tools Toolbar
    2009-07-21 16:34 . 2009-07-21 16:43 -------- d-----w- c:\program files\DAEMON Tools Lite
    2009-07-21 16:30 . 2009-07-21 16:30 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-07-21 16:30 . 2009-07-21 16:30 -------- d-----w- c:\documents and settings\Wonder\Application Data\DAEMON Tools Lite
    2009-07-20 09:13 . 2009-07-20 09:13 -------- d-----w- c:\program files\PasswordTools
    2009-07-13 12:22 . 2009-07-13 12:22 75048 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.1.6\SetupAdmin.exe

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-08-09 16:34 . 2006-07-23 03:33 -------- d-----w- c:\program files\Steam
    2009-08-09 14:02 . 2009-08-09 14:08 431104 ----a-w- c:\windows\Internet Logs\xDB56.tmp
    2009-08-09 00:36 . 2009-08-02 23:27 0 ----a-w- c:\documents and settings\Wonder\ntuser.tmp
    2009-08-08 18:44 . 2008-09-16 06:53 -------- d-----w- c:\documents and settings\Wonder\Application Data\dvdcss
    2009-08-07 14:38 . 2009-08-07 15:21 2021376 ----a-w- c:\windows\Internet Logs\xDB55.tmp
    2009-08-05 13:10 . 2006-09-17 07:27 -------- d-----w- c:\program files\Iomega
    2009-08-05 12:22 . 2009-08-05 12:22 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
    2009-08-05 12:22 . 2009-08-05 12:22 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
    2009-08-05 12:22 . 2009-08-05 12:22 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
    2009-08-05 12:22 . 2009-08-05 12:22 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
    2009-08-05 12:21 . 2007-02-15 16:58 -------- d-----w- c:\program files\Logitech
    2009-08-05 12:20 . 2006-07-05 02:15 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-08-04 13:11 . 2007-11-25 10:32 -------- d-----w- c:\program files\Mozilla Thunderbird
    2009-08-03 14:11 . 2008-11-05 17:44 -------- d-----w- c:\documents and settings\Wonder\Application Data\Apple Computer
    2009-08-03 14:10 . 2008-11-05 17:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-08-03 13:26 . 2008-11-05 17:43 -------- d-----w- c:\program files\iTunes
    2009-08-03 13:26 . 2008-11-05 17:40 -------- d-----w- c:\program files\Fichiers communs\Apple
    2009-07-29 10:22 . 2007-03-21 10:43 -------- d-----w- c:\program files\Java
    2009-07-28 21:35 . 2007-04-08 10:00 -------- d-----w- c:\program files\Windows Live Safety Center
    2009-07-26 14:22 . 2009-07-26 14:55 1903616 ----a-w- c:\windows\Internet Logs\xDB54.tmp
    2009-07-20 09:13 . 2009-07-20 09:16 823296 ----a-w- c:\windows\Internet Logs\xDB52.tmp
    2009-07-20 09:13 . 2009-07-20 09:16 1882624 ----a-w- c:\windows\Internet Logs\xDB53.tmp
    2009-07-17 12:23 . 2008-11-15 10:48 -------- d-----w- c:\program files\NuxBox
    2009-07-09 10:16 . 2009-05-29 11:17 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys
    2009-07-09 10:16 . 2009-05-29 11:17 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll
    2009-07-07 00:09 . 2009-07-07 06:43 1793536 ----a-w- c:\windows\Internet Logs\xDB51.tmp
    2009-06-26 17:12 . 2009-06-27 07:49 88576 ----a-w- c:\windows\Internet Logs\xDB50.tmp
    2009-06-26 16:18 . 2004-08-19 20:10 663552 ----a-w- c:\windows\system32\wininet.dll
    2009-06-26 16:18 . 2004-08-19 19:58 81920 ----a-w- c:\windows\system32\ieencode.dll
    2009-06-25 16:30 . 2009-06-26 07:54 3045376 ----a-w- c:\windows\Internet Logs\xDB4F.tmp
    2009-06-16 14:54 . 2004-08-19 20:08 119808 ----a-w- c:\windows\system32\t2embed.dll
    2009-06-16 14:54 . 2004-08-19 19:58 82432 ----a-w- c:\windows\system32\fontsub.dll
    2009-06-11 18:22 . 2006-07-21 18:34 33280 ----a-w- c:\documents and settings\Wonder\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-06-11 16:35 . 2006-07-21 22:10 33280 ----a-w- c:\documents and settings\DENIS\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-06-08 10:07 . 2009-06-08 10:07 232200 ----a-w- c:\windows\system32\PDBoot.exe
    2009-06-08 08:00 . 2009-06-08 08:00 71696 ----a-w- c:\windows\system32\drivers\DefragFs.sys
    2009-06-05 13:20 . 2009-06-05 14:55 1677312 ----a-w- c:\windows\Internet Logs\xDB4E.tmp
    2009-06-03 19:27 . 2004-08-19 20:04 1296896 ----a-w- c:\windows\system32\quartz.dll
    2009-06-02 12:11 . 2006-07-05 03:21 4212 ---ha-w- c:\windows\system32\zllictbl.dat
    2009-05-31 15:19 . 2009-06-01 08:37 2946048 ----a-w- c:\windows\Internet Logs\xDB4C.tmp
    2009-05-31 15:19 . 2009-06-01 08:37 1667584 ----a-w- c:\windows\Internet Logs\xDB4D.tmp
    2009-05-23 21:08 . 2009-05-24 08:48 2939392 ----a-w- c:\windows\Internet Logs\xDB4B.tmp
    2009-05-23 16:00 . 2009-05-23 16:00 15256 ----a-w- c:\documents and settings\Wonder\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
    2009-05-20 14:16 . 2009-04-08 13:59 1 ----a-w- c:\documents and settings\Wonder\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2009-05-18 15:35 . 2006-07-05 02:09 77443 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2009-05-17 09:54 . 2004-08-19 20:03 497922 ----a-w- c:\windows\system32\perfh00C.dat
    2009-05-17 09:54 . 2004-08-19 20:03 89060 ----a-w- c:\windows\system32\perfc00C.dat
    2009-05-15 19:09 . 2006-07-05 02:08 23660 ----a-w- c:\windows\system32\emptyregdb.dat
    2008-04-29 15:14 . 2008-04-29 15:09 72 --sha-w- c:\windows\S56FCD010.tmp
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-03-16 127037]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Iomega Drive Icons"="c:\program files\Iomega\DriveIcons\ImgIcon.exe" [2002-08-13 86016]
    "Deskup"="c:\program files\Iomega\DriveIcons\deskup.exe" [2002-07-16 32768]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-18 981384]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-10-10 69632]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\DENIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
    2007-10-18 18:47 75064 ----a-w- c:\windows\system32\LMIinit.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk /r \??\h:\0autocheck autochk *\0lsdelete

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BDARemote.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\BDARemote.lnk
    backup=c:\windows\pss\BDARemote.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SetPointII.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\SetPointII.lnk
    backup=c:\windows\pss\SetPointII.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Wonder^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
    path=c:\documents and settings\Wonder\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk
    backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "SerialNumber"="A209A-92W-3ZXD-BAP5-TE"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Jeux\\Star Wars Empire at War\\GameData\\sweaw.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Jeux\\Battlefield 2\\BF2.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\wonder66\\dark messiah might and magic multi-player\\runme.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    R1 HMFAxCore8ca4fd17866cac11805503e882557762;HMFAxCore8ca4fd17866cac11805503e882557762;c:\windows\system32\drivers\HMFAxCore8ca4fd17866cac11805503e882557762.sys [14/10/2008 17:22 22304]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/05/2009 21:02 108289]
    R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [05/08/2009 14:22 10384]
    R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [12/09/2007 10:21 12992]
    R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [26/10/2007 17:34 46112]
    S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [29/08/2006 00:54 10664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]
    S4 LMIRfsClientNP;LMIRfsClientNP; [x]
    .
    Contents of the 'Scheduled Tasks' folder

    2009-08-06 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2007-12-30 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8154659955.job
    - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

    2009-07-25 c:\windows\Tasks\Spybot - Search & Destroy.job
    - c:\progra~1\SPYBOT~1\SpybotSD.exe [2006-07-05 23:04]
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-SigmatelSysTrayApp - sttray.exe
    Notify-AtiExtEvent - (no file)

    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.tele2.fr/startpage/adsl/fr/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Wonder\Application Data\Mozilla\Firefox\Profiles\04dgsocq.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

    ---- FIREFOX POLICIES ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-10 11:56
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
    "ImagePath"="\"\""
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------

    [HKEY_USERS\S-1-5-21-1275210071-287218729-725345543-1005\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)

    [HKEY_USERS\S-1-5-21-1275210071-287218729-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:b7,7f,54,80,63,d7,c3,0e,21,e5,64,e9,dd,b3,1d,21,b8,b1,54,71,e1,81,f8,
    8a,d5,0b,53,81,04,46,a5,61,17,9e,fe,a7,d7,15,93,df,df,e0,6c,b8,61,23,41,ce,\
    "??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'winlogon.exe'(740)
    c:\windows\system32\LMIinit.dll
    c:\windows\system32\LMIRfsClientNP.dll

    - - - - - - - > 'explorer.exe'(2776)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\windows\system32\LMIRfsClientNP.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\windows\system32\ati2evxx.exe
    c:\windows\system32\ZoneLabs\vsmon.exe
    c:\program files\Lavasoft\Ad-Aware\aawservice.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\progra~1\Iomega\System32\AppServices.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Raxco\PerfectDisk10\PDAgent.exe
    c:\windows\system32\PnkBstrA.exe
    c:\program files\Raxco\PerfectDisk10\PDEngine.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    .
    **************************************************************************
    .
    Completion time: 2009-08-10 12:02 - machine was rebooted
    ComboFix-quarantined-files.txt 2009-08-10 10:01

    Pre-Run: 37 622 857 728 octets libres
    Post-Run: 38 189 367 296 octets libres

    Current=1 Default=1 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6
    352 --- E O F --- 2009-08-10 08:13

    Rapport GenProc 2, que j'ai copié d'internet, car j'ai perdu le log.

    GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

    Etape 1/ Télécharge :
    ToolsCleaner! (A.Rothstein & Dj QUIOU) sur ton Bureau.

    Etape 2/
    - Double-clique sur ToolsCleaner2.exe pour le lancer.
    - Clique sur Recherche et laisse le scan agir.
    - Clique sur Suppression pour finaliser.
    - Tu peux, si tu le souhaites, te servir des Options Facultatives.
    - Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt

    Etape 3/
    Poste un rapport Nod32 (il faut utiliser Internet Explorer)
    - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
    C:\Program Files\EsetOnlineScanner\log.txt

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:49:46, on 10/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\Iomega\System32\AppServices.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Genproc\outil\Wonder_GenProc.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
    O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    suit la dernière manip genproc, je t'explique ensuite
    0