TR/CryptRedol.347648.3

Résolu
Rente Messages postés 138 Statut Membre -  
 gen-hackman -
Bonjour,
j'ai trouvé sur mon ordi ce trojen TR/CryptRedol j'ai pas trouvé comment le nettoyer.... j'ai formaté pour m'en débarasser.
maintenant, je me rend compte qu'il est aussi sur mon disque dur externe...
petite précision, pour aller à mon disc dur ext il faut faire "explorer" à partir du clic droit... en double cliquant dessus, ca fonctionne pas (mess d'err) c'est suite à un virus choppé sur le réseau de mon école...

vous savez de quoi il s'agit?? j'ai l'impression que personne ne l'a déjà eut...inconnu sur google... :s

merci d'avance
Configuration: Windows XP
Firefox 3.5.2

26 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut,

    Fais ceci :

    * Télécharge Random's system information tool (RSIT) et enregistre le sur ton bureau.
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt & C:\RSIT\info.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    tutoriel d'installation
    0
  2. Rente Messages postés 138 Statut Membre 7
     
    oki,
    voici le info:


    info.txt logfile of random's system information tool 1.06 2009-08-15 16:13:34

    ======Uninstall list======

    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\setup.exe" -l0x40c anything
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    ASUS Live Update-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\Setup.exe" -l0x9
    ASUS WebCam, 1.3M, USB2.0, FF-->C:\WINDOWS\StkUnist.exe
    ATK Media-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}\Setup.exe" -l0x9
    ATK0100 ACPI UTILITY-->C:\WINDOWS\ATK0100\XPunin.exe
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
    Bluetooth Stack for Windows-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
    Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
    Logiciel Intel(R) PROSet/Wireless-->C:\WINDOWS\Installer\iProInst.exe
    mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779}
    mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
    mDrWiFi-->MsiExec.exe /I{90CC4231-94AC-45CD-991A-0253BFAC0650}
    mHelp-->MsiExec.exe /I{8C6BB412-D3A8-4AAE-A01B-35B681789D68}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
    mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
    mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
    Motorola SM56 Speakerphone Modem-->rundll32.exe sm56co.dll,SM56UnInstaller
    Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
    mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
    mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
    mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401}
    mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
    NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Power4 Gear-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4462AD13-F2AA-4CBD-9F95-293C38EED870}\Setup.exe" -l0x9
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
    REALTEK PCIE NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17E2F183-BAC4-4D01-BD7A-59F781E17EFA}\Setup.exe" -l0x40c REMOVE
    Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
    Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
    VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
    Wireless Console 2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{83F73CB1-7705-49D1-9852-84D839CA2A45}\setup.exe" -l0x9 -removeonly

    ======Hosts File======

    127.0.0.1 mpa.one.microsoft.com

    ======Security center information======

    AV: AntiVir Desktop

    ======System event log======

    Computer Name: F3JMFLO
    Event Code: 15007
    Message: La réservation de l'espace de nom identifié par le préfixe d'URL http://*:2869/ a été correctement ajoutée.

    Record Number: 5
    Source Name: HTTP
    Time Written: 20090815105931.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 3260
    Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.

    Record Number: 4
    Source Name: Workstation
    Time Written: 20090815105632.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers F3JMFLO.

    Record Number: 3
    Source Name: EventLog
    Time Written: 20090815105544.000000+120
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090815124354.000000+120
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20090815124354.000000+120
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: F3JMFLO
    Event Code: 1000
    Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20090815105728.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 1000
    Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20090815105725.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 3
    Source Name: LoadPerf
    Time Written: 20090815105629.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 1000
    Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 2
    Source Name: LoadPerf
    Time Written: 20090815105607.000000+120
    Event Type: Informations
    User:

    Computer Name: F3JMFLO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 1
    Source Name: LoadPerf
    Time Written: 20090815105554.000000+120
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
    "PROCESSOR_REVISION"=0f06
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------


    et le log

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Florent at 2009-08-15 16:13:21
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 76 GB (94%) free of 80 GB
    Total RAM: 2047 MB (66% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:13:32, on 15/08/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\DllHost.exe
    C:\Documents and Settings\Florent\Bureau\RSIT.exe
    C:\Program Files\trend micro\Florent.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  3. gen-hackman
     
    oh on dirait un xp titanium !! ^^
    0
  4. Utilisateur anonyme
     
    Maintenant fais ceci :

    * Telecharge UsbFix de C_XX & Chiquitine29
    * tutoriel d'installation
    * tutoriel recherche
    * Lance l'installation avec les paramètres par défaut
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau
    * Choisi l'option 1 (recherche)
    * Laisse travailler l'outil
    * Ensuite post le rapport UsbFix.txt qui apparaîtra
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque ( C:\UsbFix.txt )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Rente Messages postés 138 Statut Membre 7
     
    c'est quoi un xp titanium...?

    voila le compte rendu

    C:\ -> Disque fixe local # 78,13 Go (73,78 Go free) # NTFS
    D:\ -> Disque fixe local # 33,65 Go (28,44 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque fixe local # 465,76 Go (49,06 Go free) [disque dur externe florent] # NTFS
    G:\ -> Disque amovible # 978,57 Mo (0,07 Mo free) [CLÉ FLO 1GO] # FAT32
    H:\ -> Disque amovible # 1,92 Go (1,91 Go free) [CLÉ FLO 2GO] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\DllHost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    F:\autorun.inf # -> fichier appelé : "F:\"RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\"" ( Absent ! )
    Présent ! F:\autorun.inf
    Présent ! F:\msvcr71.dll
    Présent ! H:\autorun.inf

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{e279d62d-8990-11de-ba22-001302e21588}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\
    Shell\Open\command =RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\

    HKCU\..\..\Explorer\MountPoints2\{e279d635-8990-11de-ba22-001302e21588}
    Shell\AutoRun\command =H:\StartPortableApps.exe

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.017 ! |
    0
  7. Rente Messages postés 138 Statut Membre 7
     
    le début n'a pas été pris... dsl
    le voila

    ############################## | UsbFix V6.017 |

    User : Florent (Administrateurs) # F3JMFLO
    Update on 12/08/09 by Chiquitine29 & C_XX
    Start at: 16:31:17 | 15/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
    0
  8. Utilisateur anonyme
     
    Titanium est une version non officielle d'XP, une version piratée si tu préfères.

    Tu as bien une infection par support usb, fais ceci maintenant :

    * tutoriel nettoyage
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix présent sur ton bureau
    * choisi l'option 2 ( Suppression )
    * Ton bureau disparaîtra et le pc redémarrera .
    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
    * ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    * UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/ ... ichier.php
    * Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    * Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
    * Merci d'avance pour ta contribution !!
    0
  9. gen-hackman
     
    mais je te rassure :

    sa version est modifiée !

    :)
    0
  10. Utilisateur anonyme
     
    montre moi où, je dois être bigleux ;) !?
    0
  11. gen-hackman
     
    2009-08-15 12:44:20 ----RA---- C:\WINDOWS\SET8.tmp
    2009-08-15 12:44:17 ----RA---- C:\WINDOWS\SET4.tmp
    2009-08-15 12:44:16 ----RA---- C:\WINDOWS\SET3.tmp
    127.0.0.1 mpa.one.microsoft.com
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    0
  12. Utilisateur anonyme
     
    T'es sur de toi je pense, je cherchais dans les 04 !! ;)
    0
  13. gen-hackman
     
    127.0.0.1 mpa.one.microsoft.com

    ceci montre qu'il a été patché par les hosts

    2009-08-15 12:44:20 ----RA---- C:\WINDOWS\SET8.tmp
    2009-08-15 12:44:17 ----RA---- C:\WINDOWS\SET4.tmp
    2009-08-15 12:44:16 ----RA---- C:\WINDOWS\SET3.tmp

    ceci sont trois fichiers tmp qui sont avec le titanium (l'ayant utilisé à mes debuts.....)

    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

    ceci montre que les mises jour automatiques sont : soit desactivées , soit selectionnées(Internet eexplorer 8 , Windows genuine advantage seraient exclus apparemment)
    0
  14. Utilisateur anonyme
     
    Merci gen-hackman, excellent exposé, j'aurai au moins appris un truc utile aujourd'hui.
    On sent l'expérience, pour ma part, je n'ai jamais utilisé de version modifiée ou encore crackée.
    0
  15. Rente Messages postés 138 Statut Membre 7
     
    oui, c un craké, car ma partition de réinstalle à était endommagée, et personne n'a pu m'aider à la récup...et comme c'est un pc portable, ya pas le cd xp... donc, depuis je cherche un xp pro officiel (car j'ai la clé) mais j'ai trouvé que des trucs qui ne fonctionnent pas... et pour les misent à jours, elles sont déactivées, et je tourne avec mozilla firefox...

    pour en revenir au topic, une fois que j'ai fais cette manip, c'est fini??

    vous pouvez m'expliquer à quoi ca a servit tout les résumé que j'ai publié... et si je dois les effacer...?
    merci :D
    0
  16. Utilisateur anonyme
     
    je ne te blâme pas, c'est pas mon problème si tu utilises du cracké, ce qui m'intéresse c'est de supprimer les infections.
    C'est juste important de le savoir lors d'une désinfection, pour les mises à jour à faire en final.

    Tu ne m'a pas posté le rapport de suppression de USBFix, et je n'ai pas encore fini ta désinfection merci de continuer, je te donnerai toutes les directives pour supprimer ce qu'il y a besoin.
    0
  17. Rente Messages postés 138 Statut Membre 7
     
    oki, voila le résumé (j'ai supprimé des fichiers dans G:\ (de la musique) car la longueur du fichier bloque pour publier le message...)

    ############################## | UsbFix V6.017 |

    User : Florent (Administrateurs) # F3JMFLO
    Update on 12/08/09 by Chiquitine29 & C_XX
    Start at: 18:01:13 | 15/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 78,13 Go (73,88 Go free) # NTFS
    D:\ -> Disque fixe local # 33,65 Go (28,44 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque fixe local # 465,76 Go (49,06 Go free) [disque dur externe florent] # NTFS
    G:\ -> Disque amovible # 978,57 Mo (0,07 Mo free) [CLÉ FLO 1GO] # FAT32
    H:\ -> Disque amovible # 1,92 Go (1,91 Go free) [CLÉ FLO 2GO] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    F:\autorun.inf # -> fichier appelé : "F:\"RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\"" ( Absent ! )
    Supprimé ! F:\autorun.inf
    Supprimé ! F:\msvcr71.dll

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{e279d62d-8990-11de-ba22-001302e21588}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [15/08/2009 11:00|--a------|0] -> C:\AUTOEXEC.BAT
    [15/08/2009 11:33|---hs----|212] -> C:\boot.ini
    [28/08/2001 14:00|-rahs----|4952] -> C:\Bootfont.bin
    [15/08/2009 11:00|--a------|0] -> C:\CONFIG.SYS
    [15/08/2009 11:00|-rahs----|0] -> C:\IO.SYS
    [15/08/2009 11:00|-rahs----|0] -> C:\MSDOS.SYS
    [13/04/2008 09:43|-rahs----|47564] -> C:\NTDETECT.COM
    [13/04/2008 11:31|-rahs----|252240] -> C:\ntldr
    [?|?|?] -> C:\pagefile.sys
    [15/08/2009 18:03|--a------|2767] -> C:\UsbFix.txt
    [07/06/2008 11:00|--a------|607277474] -> D:\!!! Seasons by The Collective [New 2008 MTB, FR, DH].avi
    [22/04/2009 14:02|--a------|11804299] -> D:\01. The Prodigy - Invaders Must Die[Visit pctrecords].mp3
    [08/05/2009 20:02|--a------|5525629] -> D:\03 Full Moon.mp3
    [09/03/2006 22:45|--a------|733581312] -> D:\Gad Elmaleh - L'autre c'est moi.avi
    [04/06/2006 21:03|--a------|366827520] -> D:\Roam.AVI
    [21/04/2009 14:24|--a------|1520675850] -> D:\Seven Sunny Days.avi
    [27/12/2007 11:36|--a------|806667836] -> D:\The Collective.MPG
    [05/08/2009 15:37|--a------|4417944] -> F:\aaa copie.jpg
    [05/08/2009 15:37|--a------|132114413] -> F:\aaa.psd
    [28/06/2009 10:49|--a------|65321] -> F:\ACCES_usine_BG depuis Lyon.pdf
    [28/06/2009 10:49|--a------|64997] -> F:\ACCES_usine_BG.pdf
    [14/11/2008 15:25|--a------|10668] -> F:\Affiche.pdf
    [12/03/2009 14:35|--a------|268] -> F:\code internet cite u.txt
    [13/07/2009 09:35|--a------|1335380] -> F:\DT_Ap25.pdf
    [11/08/2009 13:46|--a------|479235] -> F:\fleur copie.jpg
    [11/08/2009 13:46|--a------|29907110] -> F:\fleur.psd
    [19/02/2009 10:33|--a------|2693] -> F:\free
    [25/06/2009 19:16|--a------|26] -> F:\mail Romain.txt
    [26/05/2009 19:15|--a------|541] -> F:\mail to renault trucks.txt
    [13/07/2009 14:00|--a------|19347] -> F:\mes comptes 2008.xlsx
    [28/03/2009 18:12|--a------|386] -> F:\Nouveau Document texte.txt
    [11/03/2009 19:07|--a------|41] -> F:\pass-ftp.txt
    [15/08/2009 09:44|--a------|675] -> F:\raccourcis.txt
    [24/07/2009 22:32|--a------|228677677] -> F:\Sans titre - 1.pdf
    [28/06/2009 10:10|--a------|1611926] -> F:\Sans titre-1.psd
    [11/02/2009 22:46|--a------|1053] -> F:\stage.txt
    [04/04/2009 18:30|--ahs----|114176] -> F:\Thumbs.db
    [23/09/2007 19:29|--a------|8112302] -> G:\06 Search Party.m4a
    [11/03/2009 08:31|--a------|89280] -> H:\StartPortableApps.exe

    ################## | Cracks / Keygens / Serials |
    0
  18. Utilisateur anonyme
     
    c'est bon, tu vas maintenant vacciner tous les disques et supports.

    Tous les scans et rapports servent à repérer des infections et vérifier si elles sont bien supprimées par les outils.

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
    * Double clique sur le raccourci UsbFix présent sur ton bureau .
    * Choisis l'option 3 ( Vaccination )
    * Laisse travailler l'outil.
    * Ensuite poste le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. Rente Messages postés 138 Statut Membre 7
       
      ############################## | UsbFix V6.017 |

      User : Florent (Administrateurs) # F3JMFLO
      Update on 12/08/09 by Chiquitine29 & C_XX
      Start at: 18:50:14 | 15/08/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

      C:\ -> Disque fixe local # 78,13 Go (73,78 Go free) # NTFS
      D:\ -> Disque fixe local # 33,65 Go (28,58 Go free) # NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque fixe local # 465,76 Go (56,73 Go free) [disque dur externe florent] # NTFS
      G:\ -> Disque amovible # 978,57 Mo (0,07 Mo free) [CLÉ FLO 1GO] # FAT32
      H:\ -> Disque amovible # 1,92 Go (1,91 Go free) [CLÉ FLO 2GO] # FAT32

      ################## | Vaccination |

      # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

      ################## | ! Fin du rapport # UsbFix V6.017 ! |
      0
  19. Utilisateur anonyme
     
    ok, tous tes disques et supports usb sont maintenant vaccinés.

    Tu vas faire d'autres vérifications tant qu'on y est :

    * Télécharge Malwarebytes
    * Tutoriel
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    0
    1. Rente Messages postés 138 Statut Membre 7
       
      je compren pas, car il avait trouvé TROIS trojen...


      Malwarebytes' Anti-Malware 1.40
      Version de la base de données: 2630
      Windows 5.1.2600 Service Pack 3

      15/08/2009 20:00:43
      mbam-log-2009-08-15 (20-00-43).txt

      Type de recherche: Examen complet (C:\|D:\|F:\|G:\|H:\|)
      Eléments examinés: 141200
      Temps écoulé: 47 minute(s), 50 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    2. Rente Messages postés 138 Statut Membre 7
       
      Je refais un scan, voici le message du premier... j'en fais quoi? je supprime?

      F:\System Volume Information\Restaure{...}\A0000414.com
      Contient le chevale de troie TR/Dropper.Gen
      0
  20. Utilisateur anonyme
     
    C'est magique la désinfection ;)

    Peux tu faire un rapport HiajckThis, il a été installé par RSIT, tu dois le trouver sur ton bureau.

    - ouvres HijackThis
    - cliques sur "Do a system scan and save a logfile"
    - un rapport bloc-notes va s'ouvrir, tu le colles dans ta prochaine réponse.
    0
  21. Utilisateur anonyme
     
    Ce trojan se trouve dans la restauration système, on va le supprimer en fin de désinfection.
    Ne fais pas de restauration système sans mon accord.

    Postes le rapport HijakckThis stp.
    0
    1. Rente Messages postés 138 Statut Membre 7
       
      Voila:


      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Florent at 2009-08-15 21:00:50
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 76 GB (94%) free of 80 GB
      Total RAM: 2047 MB (68% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 21:00:54, on 15/08/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\ATK0100\HControl.exe
      C:\Program Files\Wireless Console 2\wcourier.exe
      C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
      C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\ATK0100\ATKOSD.exe
      C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Windows Live\Contacts\wlcomm.exe
      C:\Documents and Settings\Florent\Bureau\RSIT.exe
      C:\Program Files\trend micro\Florent.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
      O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
      O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
      O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      0
  • 1
  • 2