Eliminer un virus de redirection Fermé

Question

Bonjour,

Un oeit souci avec Google. Je suis constamment redirigé vers des sites publicitaires ou de cul. J'ai procédé à une analyse avec MCAFEE et à un nettoyage mais le problème persiste.

Ci dessous, mon analyse  Hijack this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:33, on 15/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\msc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\Eric\LOCALS~1\Temp\e.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

pimprenelle27 · Answer

Bonjour,

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Pouf · Answer

Merci pour ta réponse rapide, j'essaye tout de suite!!!!

Pouf · Answer

Comme prévu,  j'ai réalisé ce que tu as demandé: 

https://www.cjoint.com/?ippgNOnmbe

Merci

Pouf · Answer

Quelqu'un peut il me guider en fonction de cette analyse?  Merci,

pimprenelle27 · Answer

il n'est pas complet il n'y a que le log.txt où est le info.txt

pouf · Answer

Je coince, si je suis la procédure que tu m'indiques je n'obtiens qu'un seul rapport, comment obtenir le second???

pimprenelle27 · Answer

Fait moi ceci : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

pouf · Answer

Re, 

J'ai suivi le lien, j'ai enregistré le programme mais quand je clique sur exécuter, il ne se passe rien , que dois je faire ,c'est le virus????
Merci

pouf · Answer

J'ai insisté plusieurs fois, il m'a pris ce programme, je continue...

pimprenelle27 · Answer

tu peux le renommer en mrb.exe

pouf · Answer

Programme installée mais qui refuse de démarrer, l'analyse est donc impossible!!

Que dois je faire???

Merci,

pimprenelle27 · Answer

Essaye en mode sans échec?

pouf · Answer

Salut, 

Même en mode sans échec, rien à faire....

Je coince....

pimprenelle27 · Answer

Bon tu vas me faire ceci : 


&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:Processes
explorer.exe

:services

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Monopod"=-

:files
c:\windows\msc.exe
c:\documents and settings\eric\locals~1	emp\e.exe
c:\program files\bitdownload\bitdownload.exe
c:\windows\msb.exe
c:\windows\msa.exe
c:\windows\system32\msxml71.dll

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

pouf · Answer

Salut, 

J'ai effectué ce que tu m'as demandé. Au niveau des résultats, il indique: all process killed. No active process named explorer.exe was found.

Cependant; je suis toujours redirigé lorsque je surfe sur internet sur des sites comme Bestchoix.... De plus impossibilité d'installer de nouveaux programmes type appareil photo!!

C'est désespérant, je te redonne au cas ou le bilan actualisé d'un logiciel comme HijackThis  Qu'en penses tu???

Merci beaucoup et désolé pour le dérangement. 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:53, on 17/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\Eric\LOCALS~1\Temp\e.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

pimprenelle27 · Answer

Je peux avoir le rapport OTM.

pouf · Answer

J'ai essayé de récupérer le rapport à l'endroit indique:  C:\_OTMoveIt\MovedFiles. 

J'ai uniquement un dossier numéroté mais sans rien dedans...

Que faire???

Merci,

pimprenelle27 · Answer

pas de rapport .txt d'apparu?

Narco!4 · Answer

salut,

c'est du tdss (tib)

combo renommé en winlogon en  mode sans echec est efficace ;)

pimprenelle27 · Answer

Merci narco 4 y a pas de danger je peux lui faire combo ça ne va pas mettre son ordi sans dessus dessous?

Narco!4 · Answer

oui biensur
combo en simple scan sans script n'est en aucun cas dangereux

pimprenelle27 · Answer

Pouf tu va faire ceci alors  : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs 

&#x25B6; et renomme le en winlogon.exe puis enregistre le sur le Bureau.


    *   Démarrer en mode sans échec manuellement
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec avec prise ne charge réseau et appuyez sur la touche entrée de votre clavier.



&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp

pouf · Answer

Salut, 

J' ai donc utilisé Combofix et MIRACLE, je suis débarrassé de ce maudit virus...........................


Merci pour cet accompagnement!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Au plaisir,

pimprenelle27 · Answer

et oh qui t'a dit que c'était fini?

pouf · Answer

c'est à dire ???????

pimprenelle27 · Answer

il reste tout les nettoyage à faire voyons il ne va pas se faire tout seul.


1ère chose faire ceci pour effacer les dernières traces : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

dom131 · Answer

Pour ma part je remercie pimprenelle27 en faisant la manipulation j'ai reussit a supprimer ce fichier msc.exe il a été suprimer par combofix avec quelques autres fichier je pence que c'était ce programme qui m'envoyé des pages de pub sans meme étre sur internet je te remerci fortemment !

Je poste ce qui a ete je pence detecté par combofix :

((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\6a00d.msi
c:\windows\msa.exe
c:\windows\msb.exe
c:\windows\msc.exe
c:\windows\Suyin.reg
c:\windows\system32\msxml71.dll

pimprenelle27 · Answer

je peux avoir le rapport combo et malware ensuite il reste le ménage à faire?

dom131 · Answer

ComboFix 09-08-29.01 -
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\6a00d.msi
c:\windows\msa.exe
c:\windows\msb.exe
c:\windows\msc.exe
c:\windows\Suyin.reg
c:\windows\system32\msxml71.dll

.
(((((((((((((((((((((((((   Files Created from 2009-07-28 to 2009-08-30  )))))))))))))))))))))))))))))))
.

2009-08-30 10:11 . 2009-08-30 10:14	--------	d-----w-	c:\users\Dominik\AppData\Local	emp
2009-08-30 10:11 . 2009-08-30 10:11	--------	d-----w-	c:\users\Default\AppData\Local	emp
2009-08-28 20:27 . 2009-08-29 18:28	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-08-26 19:19 . 2009-06-22 10:09	2048	----a-w-	c:\windows\system32	zres.dll
2009-08-26 17:59 . 2009-08-26 18:00	--------	d-----w-	c:\users\Dominik\AppData\Local\Adobe
2009-08-26 07:11 . 2009-06-05 09:40	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-08-26 07:11 . 2009-06-05 09:53	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-26 07:07 . 2009-08-29 20:21	680	----a-w-	c:\users\Dominik\AppData\Local\d3d9caps.dat
2009-08-24 19:19 . 2009-08-24 19:21	--------	d-----w-	c:\windows\system32\ca-ES
2009-08-24 19:19 . 2009-08-24 19:21	--------	d-----w-	c:\windows\system32\eu-ES
2009-08-24 19:19 . 2009-08-24 19:20	--------	d-----w-	c:\windows\system32\vi-VN
2009-08-24 19:06 . 2009-08-24 19:06	--------	d-----w-	c:\windows\system32\EventProviders
2009-08-24 19:03 . 2009-04-11 06:28	247808	----a-w-	c:\windows\system32\drvstore.dll
2009-08-23 07:36 . 2009-08-23 07:37	71664	----a-w-	c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-08-21 20:53 . 2009-08-21 20:53	--------	d-----w-	c:\users\Dominik\AppData\Local\Microsoft Games
2009-08-21 19:54 . 2009-08-21 19:54	--------	d-----w-	c:\users\Dominik\Bluetooth Software
2009-08-21 18:34 . 2009-08-21 18:34	--------	d-----w-	c:\programdata\LightScribe
2009-08-21 18:28 . 2009-08-21 18:28	--------	d-----w-	c:\users\Dominik\Option
2009-08-21 17:51 . 2009-08-21 17:51	--------	d-----w-	c:\users\Default\AppData\Local\Microsoft Help
2009-08-21 17:51 . 2009-08-21 17:51	--------	d-----w-	c:\users\Dominik\AppData\Local\CyberLink
2009-08-21 17:50 . 2009-08-21 17:50	--------	d-----w-	c:\users\Dominik\AppData\Local\PlayMovie
2009-08-21 17:50 . 2009-08-21 17:51	--------	d-----w-	c:\users\Dominik\AppData\Local\SoftDMA
2009-08-21 17:50 . 2009-08-21 17:50	--------	d-----w-	c:\users\Dominik\AppData\Local\Acer Arcade Deluxe
2009-08-21 17:50 . 2009-08-21 17:51	--------	d-----w-	c:\users\Dominik\AppData\Roaming\CyberLink
2009-08-21 17:38 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-08-21 16:48 . 2009-08-21 16:48	--------	d-----w-	c:\users\Dominik\AppData\Roaming\Template
2009-08-21 16:19 . 2009-08-21 16:19	--------	d-----w-	C:\EGIS_Drive
2009-08-21 15:48 . 2009-08-21 15:48	45	---h--w-	c:\windows\dace4074.dat
2009-08-21 15:48 . 2009-08-21 15:52	--------	d-----w-	c:\program files\PhotoFiltre Studio
2009-08-21 15:41 . 2009-08-21 15:41	--------	d-----w-	c:\program files\VirtualDJ
2009-08-21 11:12 . 2009-08-21 12:19	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-21 11:12 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-08-21 11:12 . 2009-08-21 11:12	--------	d-----w-	c:\programdata\Avira
2009-08-21 11:12 . 2009-08-21 11:12	--------	d-----w-	c:\program files\Avira
2009-08-21 10:52 . 2009-08-30 10:12	12	----a-w-	c:\windows\bthservsdp.dat
2009-08-21 10:12 . 2009-08-21 16:03	95304	---ha-w-	c:\windows\system32\mlfcache.dat
2009-08-21 10:12 . 2009-08-21 10:12	--------	d-----w-	c:\users\Dominik\AppData\Roaming\Apple Computer
2009-08-21 10:12 . 2009-08-21 10:12	--------	d-----w-	c:\users\Dominik\AppData\Local\Apple Computer
2009-08-21 10:08 . 2009-08-21 10:09	--------	d-----w-	c:\program files\Safari
2009-08-21 10:08 . 2009-08-21 10:08	--------	d-----w-	c:\programdata\Apple Computer
2009-08-21 10:08 . 2009-08-21 10:08	--------	d-----w-	c:\program files\Bonjour
2009-08-21 10:08 . 2009-08-21 10:08	--------	d-----w-	c:\users\Dominik\AppData\Local\Apple
2009-08-21 10:08 . 2009-08-21 10:08	--------	d-----w-	c:\program files\Apple Software Update
2009-08-21 10:08 . 2009-08-21 10:08	--------	d-----w-	c:\programdata\Apple
2009-08-21 09:50 . 2008-02-25 10:38	20619563	----a-w-	c:\windows\system32\acer.exe
2009-08-21 09:50 . 2007-04-19 11:41	83554304	----a-w-	c:\windows\system32\acer.scr
2009-08-21 09:50 . 2009-08-21 09:50	--------	d-----w-	c:\windows\ACER
2009-08-21 09:49 . 2009-08-21 17:04	--------	d-----w-	c:\users\Dominik\AppData\Roaming\Acer
2009-08-21 09:46 . 2009-03-08 11:32	72704	----a-w-	c:\windows\system32\admparse.dll
2009-08-21 09:45 . 2009-08-21 18:03	--------	d-----w-	c:\users\Dominik\AppData\Local\PowerCinema
2009-08-21 09:44 . 2009-06-15 14:52	1259008	----a-w-	c:\windows\system32\lsasrv.dll
2009-08-21 09:44 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2009-08-21 09:44 . 2009-06-15 14:54	175104	----a-w-	c:\windows\system32\wdigest.dll
2009-08-21 09:44 . 2009-06-15 14:53	218624	----a-w-	c:\windows\system32\msv1_0.dll
2009-08-21 09:44 . 2009-06-15 23:15	439864	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-08-21 09:44 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll
2009-08-21 09:44 . 2009-06-15 14:53	72704	----a-w-	c:\windows\system32\secur32.dll
2009-08-21 09:44 . 2009-06-15 12:48	9728	----a-w-	c:\windows\system32\lsass.exe
2009-08-21 09:43 . 2009-08-21 09:43	--------	d-----w-	c:\users\Dominik\AppData\Roaming\eSobi
2009-08-21 09:42 . 2009-08-21 09:41	36864	----a-w-	c:\programdata\Temp\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\PostBuild.exe
2009-08-21 09:41 . 2009-08-21 09:48	--------	d-----w-	c:\program files\Acer Arcade Deluxe
2009-08-21 09:41 . 2009-08-21 18:23	--------	d-----w-	c:\programdata\CyberLink
2009-08-21 09:41 . 2009-08-21 09:41	53319	----a-w-	c:\programdata\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41}\PostBuild.exe
2009-08-21 09:40 . 2009-08-21 09:40	--------	d-----w-	C:\CLSetup
2009-08-21 09:37 . 2009-07-15 12:39	313344	----a-w-	c:\windows\system32\wmpdxm.dll
2009-08-21 09:37 . 2009-07-15 12:40	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-08-21 09:37 . 2009-07-15 12:39	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-08-21 09:37 . 2009-07-15 12:39	7680	----a-w-	c:\windows\system32\spwmp.dll
2009-08-21 09:37 . 2009-04-23 12:15	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-08-21 09:36 . 2009-08-21 09:36	--------	d-----w-	c:\program files\Ask Search Assistant
2009-08-21 09:36 . 2009-08-21 09:36	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-08-21 09:36 . 2009-08-30 10:01	--------	d-----w-	c:\users\Dominik\Tracing
2009-08-21 09:30 . 2009-08-28 20:26	--------	d-----w-	c:\program files\Microsoft
2009-08-21 09:30 . 2009-08-21 17:46	--------	d-----w-	c:\users\Dominik\AppData\Roaming\vlc
2009-08-21 09:28 . 2009-08-21 09:28	--------	d-----w-	c:\program files\VideoLAN
2009-08-21 09:25 . 2009-08-21 09:25	--------	d-----w-	c:\program files\CCleaner
2009-08-21 09:21 . 2009-08-21 09:21	--------	d-----w-	c:\program files\AGEIA Technologies
2009-08-21 09:21 . 2009-08-21 09:21	--------	d-----w-	c:\windows\system32\AGEIA
2009-08-21 09:21 . 2009-08-21 09:21	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2009-08-21 09:21 . 2009-08-21 09:50	--------	d-----w-	c:\program files\Acer Inc
2009-08-21 09:20 . 2009-08-21 09:20	0	----a-w-	c:\windows
sreg.dat
2009-08-21 09:20 . 2009-08-21 09:20	--------	d-----w-	c:\users\Dominik\AppData\Local\Mozilla
2009-08-21 09:20 . 2009-08-21 09:20	--------	d-----w-	c:\windows\ITECIR
2009-08-21 09:20 . 2007-12-18 15:12	54784	----a-w-	c:\windows\system32\drivers\itecir.sys
2009-08-21 09:20 . 2006-10-05 03:46	7680	----a-w-	c:\windows\system32\CIRCoInst.dll
2009-08-21 09:19 . 2009-08-21 09:19	--------	d-----w-	c:\program files\Launch Manager
2009-08-21 09:19 . 2008-06-30 15:56	200704	----a-w-	c:\windows\PLFSetI.exe
2009-08-21 09:19 . 2008-06-23 09:47	352256	----a-w-	c:\windows\Acer Crystal Eye webcam.EXE
2009-08-21 09:19 . 2008-04-22 11:21	9216	----a-w-	c:\windows\usbvideo_reg.exe
2009-08-21 09:19 . 2007-03-29 14:48	626688	----a-w-	c:\windows\Image.dll
2009-08-21 09:18 . 2009-08-21 09:18	--------	d-----w-	c:\users\Dominik\AppData\Roaming\InstallShield
2009-08-21 09:16 . 2008-10-16 21:13	1809944	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-21 09:16 . 2008-10-16 21:09	51224	----a-w-	c:\windows\system32\wuauclt.exe
2009-08-21 09:16 . 2008-10-16 21:09	43544	----a-w-	c:\windows\system32\wups2.dll
2009-08-21 09:16 . 2008-10-16 20:56	1524736	----a-w-	c:\windows\system32\wucltux.dll
2009-08-21 09:15 . 2008-10-16 21:12	561688	----a-w-	c:\windows\system32\wuapi.dll
2009-08-21 09:15 . 2008-10-16 21:08	34328	----a-w-	c:\windows\system32\wups.dll
2009-08-21 09:15 . 2008-10-16 20:55	83456	----a-w-	c:\windows\system32\wudriver.dll
2009-08-21 09:15 . 2008-10-16 12:08	162064	----a-w-	c:\windows\system32\wuwebv.dll
2009-08-21 09:15 . 2008-10-16 11:56	31232	----a-w-	c:\windows\system32\wuapp.exe
2009-08-21 09:15 . 2007-03-29 19:46	79664	----a-w-	c:\windows\system32\drivers\btwaudio.sys
2009-08-21 09:15 . 2007-02-27 06:20	81200	----a-w-	c:\windows\system32\drivers\btwavdt.sys
2009-08-21 09:15 . 2007-02-27 06:20	16432	----a-w-	c:\windows\system32\drivers\btwrchid.sys
2009-08-21 09:15 . 2007-04-26 02:20	233472	----a-w-	c:\windows\system32\BtwRSupport.dll
2009-08-21 09:14 . 2009-08-21 09:14	--------	d-----w-	c:\windows\system32\es-MX
2009-08-21 09:14 . 2009-08-21 09:14	--------	d-----w-	c:\windows\system32\es-AR
2009-08-21 09:14 . 2009-08-21 09:14	--------	d-----w-	c:\program files\WIDCOMM
2009-08-21 09:13 . 2009-08-21 09:13	118784	----a-w-	c:\windows\system32\VMC3KAPI.dll
2009-08-21 09:13 . 2009-08-21 09:13	114688	----a-w-	c:\windows\system32\VCryptAPI.dll
2009-08-21 09:13 . 2009-08-21 09:13	23040	----a-w-	c:\windows\system32\ShlCmd.exe
2009-08-21 09:13 . 2009-08-21 09:13	5632	----a-w-	c:\windows\system32\biologon.dll
2009-08-21 09:13 . 2009-08-21 09:13	43184	----a-w-	c:\windows\system32\drivers\AlfaFF.sys
2009-08-21 09:13 . 2009-08-21 09:13	331776	----a-w-	c:\windows\system32\DrvCrypt.dll
2009-08-21 09:13 . 2009-08-21 09:13	16384	----a-w-	c:\windows\system32\AlfaFF.dll
2009-08-21 09:12 . 2009-08-21 09:12	192512	----a-w-	c:\windows\system32\BioOne.dll
2009-08-21 09:12 . 2009-08-21 09:12	189952	----a-w-	c:\windows\system32\PBAGUI.dll
2009-08-21 09:12 . 2009-08-21 09:12	--------	d-----w-	c:\users\Dominik\AppData\Roaming\Validity
2009-08-21 09:12 . 2009-08-29 18:34	--------	d-----w-	c:\users\Dominik\AppData\Local\Google
2009-08-21 09:12 . 2009-08-21 09:12	--------	d-----w-	c:\program files\Validity Sensors, Inc
2009-08-21 09:11 . 2009-08-23 07:36	8224	----a-w-	c:\users\Dominik\AppData\Local\GDIPFONTCACHEV1.DAT
2009-08-21 09:11 . 2009-08-21 09:11	157168	----a-w-	c:\programdata\Partner\partner.dll
2009-08-21 09:11 . 2009-08-21 09:11	110576	----a-w-	c:\programdata\Partner\partner.exe
2009-08-21 09:11 . 2009-08-21 09:11	--------	d-----w-	c:\programdata\Partner
2009-08-21 09:05 . 2009-08-21 09:05	--------	d-sh--we	c:\users\Default\Voisinage réseau
2009-08-21 09:05 . 2009-08-21 09:05	--------	d-sh--we	c:\users\Default\Voisinage d'impression

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-30 10:13 . 2009-08-21 17:09	32061	----a-w-	c:\programdata
vModes.dat
2009-08-30 10:07 . 2008-01-21 08:40	669566	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-30 10:07 . 2008-01-21 08:40	123556	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-29 18:29 . 2009-08-21 09:09	--------	d-----w-	c:\programdata\NVIDIA
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Calendar
2009-08-24 19:21 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Sidebar
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Journal
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Collaboration
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Photo Gallery
2009-08-24 19:21 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Defender
2009-08-24 19:19 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-08-22 21:52 . 2009-01-13 04:32	--------	d-----w-	c:\programdata\Microsoft Help
2009-08-22 21:50 . 2009-01-13 04:33	--------	d-----w-	c:\program files\Microsoft Works
2009-08-21 16:48 . 2009-08-21 16:48	168	----a-w-	c:\users\Dominik\AppData\Roaming\wklnhst.dat
2009-08-21 16:30 . 2009-01-13 04:48	--------	d-----w-	c:\programdata\McAfee
2009-08-21 11:42 . 2009-08-21 11:42	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-08-21 11:12 . 2009-01-13 05:05	--------	d-----w-	c:\program files\Acer GameZone
2009-08-21 09:54 . 2009-01-13 04:53	--------	d-----w-	c:\program files\Google
2009-08-21 09:50 . 2009-01-13 04:21	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-08-21 09:49 . 2009-01-13 04:47	--------	d-----w-	c:\program files\Acer
2009-08-21 09:48 . 2009-08-21 09:48	--------	d-----w-	c:\programdata\Messenger Plus!
2009-08-21 09:45 . 2009-01-13 05:27	--------	d-----w-	c:\program files\eSobi
2009-08-21 09:35 . 2009-01-13 05:02	--------	d-----w-	c:\program files\Windows Live
2009-08-21 09:05 . 2009-08-21 09:05	--------	d-sh--we	c:\programdata\Modèles
2009-08-21 09:05 . 2009-08-21 09:05	--------	d-sh--we	c:\programdata\Menu Démarrer
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\windows\system32\sirenacm.dll
2009-07-21 21:52 . 2009-08-21 09:48	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-08-21 09:48	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-08-21 09:48	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-08-21 09:48	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-07-17 13:54 . 2009-08-21 09:39	71680	----a-w-	c:\windows\system32\atl.dll
2009-07-10 11:01 . 2009-07-10 11:01	307560	----a-w-	c:\windows\WLXPGSS.SCR
2009-06-29 07:16 . 2009-06-29 07:16	48640	----a-w-	c:\windows\system32\drivers\L1E60x86.sys
2009-06-26 20:55 . 2009-06-26 20:55	66080	----a-w-	c:\windows\system32\drivers
vhda32v.sys
2009-06-26 20:54 . 2009-06-26 20:54	57344	----a-w-	c:\windows\system32
vapo32v.dll
2009-06-26 20:54 . 2009-06-26 20:54	19456	----a-w-	c:\windows\system32
vhdap32.dll
2009-06-24 20:07 . 2009-01-13 11:35	151552	----a-w-	c:\windows\system32
vcohda.dll
2009-06-24 20:07 . 2009-06-24 20:07	485920	----a-w-	c:\windows\system32
vuhda.exe
2009-06-15 14:53 . 2009-08-21 09:39	156672	----a-w-	c:\windows\system32	2embed.dll
2009-06-15 14:52 . 2009-08-21 09:39	23552	----a-w-	c:\windows\system32\lpk.dll
2009-06-15 14:52 . 2009-08-21 09:39	72704	----a-w-	c:\windows\system32\fontsub.dll
2009-06-15 14:51 . 2009-08-21 09:39	10240	----a-w-	c:\windows\system32\dciman32.dll
2009-06-15 12:42 . 2009-08-21 09:39	289792	----a-w-	c:\windows\system32\atmfd.dll
2009-06-10 11:42 . 2009-08-21 09:39	160256	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-10 11:38 . 2009-08-21 09:39	91136	----a-w-	c:\windows\system32\avifil32.dll
2009-06-04 12:07 . 2009-08-21 09:39	2066432	----a-w-	c:\windows\system32\mstscax.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2009-08-21 09:11	157168	----a-w-	c:\programdata\Partner\partner.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-07-29 16:52	121392	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-21 68856]
"Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2009-04-11 1233920]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-04 1037608]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-08-01 405504]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-05-30 544768]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-25 28672]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-05 13601312]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-05 92704]
"ZPdtWzdVitaKey MC3000"="c:\program files\Acer\Acer Bio Protection\PdtWzd.exe" [2009-08-21 3719680]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-06-30 200704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-06-16 809480]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-05-07 6139904]

c:\users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-8-21 1216512]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-24 723760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\AWinNotifyVitaKey MC3000]
2009-08-21 09:13	3162624	----a-w-	c:\program files\Acer\Acer Bio Protection\WinNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):80,21,50,e5,f0,24,ca,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{69C9E28E-DC18-44D0-A0FD-F5FD8A97DF80}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{83A719D3-2212-4E79-AC75-5C78AB9B94D5}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{372DF4B3-843F-4759-A96D-F4FE7E58D795}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{164360B1-239A-4F06-8E29-C781303F350B}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{69260472-CFAF-422F-B1DD-6CFBDF892DF2}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{F406E2F6-2C0D-445C-BCFD-FE9807096399}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{DA157BAC-CEBA-4A58-801A-B93BE8530D12}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{E2D80A1F-E27C-4D69-9F6B-22F26AA11B96}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{72BD6BB2-6DE9-4E17-8106-D921E74D36DF}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{1ED25B0A-E1B1-4D31-AAE0-4BD6A9470865}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live FolderShare
"{502B7800-EF6B-46E6-8C63-4D8661A12AF7}"= c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{FAA4FA21-B8C6-4920-B9D2-74F2D232ABFF}"= c:\program files\Acer Arcade Deluxe\PlayMovie\PlayMovie.exe:Acer Play Movie
"{B06D046B-1264-4CFD-9440-C08C28E74078}"= c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe:Acer Play Movie Resident Program
"{430FB573-9D92-4554-8D96-97D01CEE32B3}"= c:\program files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:Acer HomeMedia
"{C4AAD700-A2D2-4FB9-8475-61698D05CD66}"= c:\program files\Acer\Acer VCM\VC.exe:Acer VCM
"{D5FE2F18-8049-4913-9DCF-7ACA6E1065BA}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{0C386CB7-0315-4D34-A2AD-B2A64F762768}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"TCP Query User{5F1B8A81-3404-4B9E-8C15-8D5946B110B2}c:\program files\windows sidebar\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
"UDP Query User{189192F1-5893-4D46-83B0-0837544BD28C}c:\program files\windows sidebar\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Volet Windows

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSfsu.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSfsu.exe:*:Enabled:eDSfsu
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\encryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\encryption.exe:*:Enabled:encryption
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\decryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\decryption.exe:*:Enabled:decryption
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSMgr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSMgr.exe:*:Enabled:eDSMgr
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStbmngr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDStbmngr.exe:*:Enabled:eDStbmngr
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x64\eDSfsu.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDSfsu.exe:*:Enabled:eDSfsu
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x64\encryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\encryption.exe:*:Enabled:encryption
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x64\decryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\decryption.exe:*:Enabled:decryption
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x64\eDSMgr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDSMgr.exe:*:Enabled:eDSMgr
"c:\Program Files\Acer\Empowering Technology\eDataSecurity\x64\eDStbmngr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDStbmngr.exe:*:Enabled:eDStbmngr

R0 AlfaFF;AlfaFF File System mini-filter;c:\windows\System32\drivers\AlfaFF.sys [21/08/2009 11:13 43184]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl [21/08/2009 11:45 61424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/08/2009 13:12 108289]
R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [03/03/2008 14:11 16384]
R2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [21/08/2009 11:48 81504]
R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [13/01/2009 06:47 24576]
R2 IGBASVC;iGroupTec Service;c:\program files\Acer\Acer Bio Protection\BASVC.exe [21/08/2009 11:13 3520512]
R2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [25/04/2008 22:36 45056]
R2 NTIPPKernel;NTIPPKernel;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys [21/08/2009 11:48 122368]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [25/04/2008 22:36 131072]
R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [21/08/2009 11:49 233472]
R2 vfsFPService;Validity Fingerprint Service;c:\windows\System32\vfsFPService.exe [26/05/2008 05:43 599344]
R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE [30/03/2009 16:28 1533808]
R3 itecir;ITECIR Infrared Receiver;c:\windows\System32\drivers\itecir.sys [21/08/2009 11:20 54784]
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\System32\drivers\L1E60x86.sys [29/06/2009 09:16 48640]
R3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\System32\drivers\NETw5v32.sys [13/01/2009 13:35 3658752]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers
vhda32v.sys [26/06/2009 22:55 66080]
R3 vfs101x;vfs101x;c:\windows\System32\drivers\vfs101x.sys [26/05/2008 05:44 40752]
S3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [13/01/2009 06:29 85136]
S3 Partner Service;Partner Service;c:\programdata\Partner\partner.exe [21/08/2009 11:11 110576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32undll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-08-30 c:\windows\Tasks\User_Feed_Synchronization-{F9D1E950-1B35-49E6-9317-EB86F3E88E59}.job
- c:\windows\system32\msfeedssync.exe [2009-08-21 20:13]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-NordBull - c:\windows\msc.exe
HKLM-Run-eRecoveryService - (no file)


.
------- Supplementary Scan -------
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=vp32&d=0809&m=aspire_8930
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=vp32&d=0809&m=aspire_8930
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-30 12:13
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'Explorer.exe'(5060)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\windows\system32\btmmhook.dll
c:\windows\System32\SysHook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32
vvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\wlanext.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\windows\System32undll32.exe
c:\program files\Acer\Acer Bio Protection\CompPtcVUI.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
c:\windows\System32undll32.exe
c:\program files\Launch Manager\LManager.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Acer\Acer Bio Protection\PwdBank.exe
c:\program files\Acer\Acer VCM\acp2HID.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\program files\Acer\Acer VCM\VC.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\program files\Safari\Safari.exe
.
**************************************************************************
.
Completion time: 2009-08-30 12:18 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-30 10:18

Pre-Run: 72 506 290 176 octets libres
Post-Run: 72 263 979 008 octets libres

376	--- E O F ---	2009-08-29 20:47

Voila le rapport pour combo je fais de suite ac malware ..

Merci pour ta réponse :)

dom131 · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2717
Windows 6.0.6002 Service Pack 2

30/08/2009 20:14:59
mbam-log-2009-08-30 (20-14-56).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 208790
Temps écoulé: 41 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\partner service (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\kt_bho.KettleBho (Trojan.BHO) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\ProgramData\Partner\partner.dll (Trojan.BHO) -> No action taken.
C:\ProgramData\Partner\partner.exe (Trojan.BHO) -> No action taken.
C:\Qoobox\Quarantine\C\Windows\msa.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\Windows\msb.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\Windows\msc.exe.vir (Trojan.Agent) -> No action taken.


Voici le rapport avec malware ou je vois que c'était bien ce programme msc.exe qui ete un virus ou autre

pimprenelle27 · Answer

le rapport malware c'est marqué no action taken il recommencer puis afficher rapport et supprimer puis ensuite supprimer la quarantaine.

Ensuite me faire ceci pour vérifier qu'il n'y a pas de spyware : 

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

dom131 · Answer

Au faite pour malware machin j'avais bien mis an quarantaine et j'ai supprimer ce qui avait ans la zone de quarantaine au matin ;) 

Je poste ici le rapport de sas : 

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 08/31/2009 at 11:39 AM

Application Version : 4.27.1002

Core Rules Database Version : 4077
Trace Rules Database Version: 2017

Scan type       : Complete Scan
Total Scan Time : 00:55:18

Memory items scanned      : 844
Memory threats detected   : 0
Registry items scanned    : 6888
Registry threats detected : 0
File items scanned        : 25593
File threats detected     : 3

Adware.Tracking Cookie
	C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Cookies\dominik@bs.serving-sys[1].txt
	C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Cookies\dominik@serving-sys[1].txt
	C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Cookies\dominik@atdmt[2].txt

pimprenelle27 · Answer

parfais tu peux supprimer ce SAS à trouvé qui à mis en quarantaine, maintenant ceci afin de vérifier s'il reste encore des virus : 

Fais un scan en ligne avec Internet explorer
Rend toi sur ce site : http://www.bitdefender.fr/scan_fr/scan8/ie.html

Eliminer un virus de redirection

33 réponses

Discussions similaires