Pc sous XP virusé

Résolu
Iris -  
 Iris -
Bonsoir,
Mon PC est virusé depuis deux jours environ. J'ai suivi divers conseils trouvés ici et là sur ce forum...sans grand succès, car le virus réapparaît. Chaque fois que je me connecte à internet, malgré le firewall, le pc redémarre tout seul sans arrêt. Je ne peux me connecter que en mode sans échec. Je me suis donc connectée de cette façon, fait des scans en ligne, supprimé plusieurs fichiers infectieux...quand mon compte utilisateur a l'air clean, après un scan, je me reconnecte normalement et ça recommence.

J'ai donc une question, peut-être stupide mais enfin peut-être cela peut-il marcher : j'ai deux comptes sur mon ordinateur, un "normal", celui qui apparaît quand j'allume mon pc, et un autre, qui n'apparaît que en mode sans échec, et les deux ont apparemment des droits administrateurs. Le compte "invisible", qui est nommé (par défaut j'imagine) administrateur, semble toujours impeccable et sans virus. Voilà donc ma question :
Est-ce possible de supprimer la session "normale" d'utilisateur ? Est-ce que cela permettrait de supprimer définitivement le virus par la même occasion ? L'idée serait d'en créer une nouvelle qui serait donc propre et sans virus...

Est-ce que cela est possible, ou le virus risque-t-il de se propager dans la nouvelle session quand même ?

J'espère que vous comprendrez mon message, c'est peut-être un peu brouillon et je m'en excuse d'avance, mes connaissances en informatiques sont super limitées...
Merci d'avance aux bonnes âmes qui essaieront de m'aider : )
Configuration: Windows XP Internet Explorer 8.0

60 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur signale qu’un PC sous Windows XP est infecté par un virus qui réapparaît à chaque connexion à Internet, malgré le pare-feu et des scans en ligne, et ne fonctionne qu’en mode sans échec.
Plusieurs intervenants estiment qu'une désinfection complète est nécessaire plutôt que la suppression d'un compte, en privilégiant l'analyse des éléments d'autorun et des programmes malveillants, puis la suppression des entrées indésirables.
En cas de persistance, l'emploi d'outils de détection comme HijackThis pour identifier les démarrages indésirables et la suppression des points de restauration sont recommandés, puis la navigation plus sûre et l'assistance spécialisée si nécessaire.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Iris
     
    Ben merci beaucoup en tout cas d'avoir ressuscité mon PC ! C'est trop fort Ric025 Merci :)
    Bizes et ciao ;-)
    4
  2. Utilisateur anonyme
     
    Re,

    J'ai pas une bonne nouvelle, tu es multi infecté et dans le lot tu as une infection braviax.

    Cette infection peut prendre beaucoup de temps pour être supprimée, commence par regarder si tu as le cd d'XP sous la main, il peut être utile !!

    Je n'ai pas le temps de m'occuper de ton infection, j'ai des obligations ce week-end.

    J'ai fais appel à un helper qui va prendre ton problème en main.

    Bon courage et bon wwek-end !
    1
  3. ric025
     
    Ok, c'est très bien, mais ne pars pas si vite ! :))

    Supprime ces dossiers en gras :

    C:\Program Files\Kerio
    C:\Program Files\Alwil Software

    Relance Hijackthis, choisis cette fois l'option "Do a system scan only". La liste créée, coche les lignes suivantes :
    O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
    
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/
    
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
    
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    
    O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab 


    Clique sur "Fix Checked"

    ===================

    Redémarre ton pc, si tout est ok, passe à la suite, sinon redis-moi.

    ===================

    Supprime Hijackthis.

    !! Très Important !!

    Supprimer les anciens points de restauration:

    ▶ Clique droit sur "Poste de travail".
    ▶ Clique sur "Propriétés".
    ▶ Clique sur l'onglet "Restauration du système".
    ▶ Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
    ▶ Redémarre le pc.

    ▶ Clique droit sur "Poste de travail".
    ▶ Clique sur "Propriétés".
    ▶ Clique sur l'onglet "Restauration du système".
    ▶ Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

    Les points sont supprimés.

    Création d'un nouveau point:

    ▶ Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système".
    ▶ Clique sur "Restauration du système".
    ▶ Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
    ▶ Clique sur "Suivant".
    ▶ Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
    ▶ Clique sur "Créer" et le point de restauration se créé automatiquement.

    =============

    Pour une navigation plus sûre et plus rapide:


    tu peux naviguer avec Firefox.

    Addon à ajouter à firefox pour le sécuriser:

    ▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/
    ▶ Explications/Demo ici : http://www.mywot.com/fr/demo

    + ceux-ci: https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

    =============

    Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf


    =============

    Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )

    ++

    1
  4. Iris
     
    Oki il reste du boulot en fait :D O_O'
    Je fais tout ça et je te recontacte :) demain au plus tard :)
    Merci ric025 ;-)
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ric025
     
    Pas de soucis ! :)

    Tu verras, c'est presque rien, plus impressionnant qu'autre chose ! :)

    Ok, alors prends ton temps, si tu as des questions, n'hésite pas.
    1
  7. ric025
     
    Re.

    Je te dis à bientôt. Je m'absente pour quelques semaines.

    Bon surf.

    ++
    1
  8. Mermozzz Messages postés 105 Statut Membre 12
     
    Non mais un virus peut se stocker que dans un fichier sur le disque dur.
    1: Scan ton pc avec un anivirus
    2:Efface la session qui bug
    Voila
    0
  9. Utilisateur anonyme
     
    Salut !

    * Télécharge Random's system information tool (RSIT) et enregistre le sur ton bureau.
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt & C:\RSIT\info.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  10. Iris
     
    Salut !
    Merci à vous deux pour votre aide !

    Lainvi, j'ai suivi tes conseils et voici le premier rapport :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by moh at 2009-08-22 00:16:22
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 8 GB (26%) free of 30 GB
    Total RAM: 2047 MB (78% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:16:29, on 22/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
    C:\Program Files\RegCleaner\RegCleanr.exe
    C:\Program Files\RegCleaner\RegCleanr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\moh\Bureau\RSIT.exe
    C:\Program Files\trend micro\moh.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
    O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\Run: [LClock] C:\Program Files\LClock\LClock.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-1202660629-1229272821-682003330-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')
    O4 - HKUS\S-1-5-21-1202660629-1229272821-682003330-500\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Administrateur')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O4 - Startup: ikowin32.exe
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
    O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)
    0
  11. ric025
     
    Bonne nuit Alain, pense à m'envoyer des cartes postales ...:'((

    :))

    @Iris, bonsoir ! ;)

    /!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\

    /!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\


    Télécharge ComboFix (de sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    * Il va te demander d'installer la console de récupération : ACCEPTE !.
    * Ne touche pas au pc durant le scan.
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

    -->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    ++
    0
  12. Iris
     
    Salut !
    Désolée je viens de voir vos messages ! Tout d'abord merci infiniement Lainvi et Ric025 à tous les deux pour votre aide, c'est véritablement gentil de votre part de m'apporter vos lumières sur le sujet ! : )

    Pour braviax, il ne s'agit pas du vrai virus...le vrai fichier a été effaçé après un scann en ligne. Je ne sais pas si j'ai bien fait, mais j'ai confié mon ordi à un ami, et il a eu l'idée de créer des fichiers en lecture seule avec le même nom que le virus pour l'empêcher de recréer des fichiers dans ces répertoires, et il a désactivé la restauration système pour l'empêcher de se régénérer...je ne sais pas si tout ça peut tromper le virus, je n'ai pas encore rédémarré mon ordi...Peut-être réapparaîtra-t-il encore après ?...

    Pour l'heure, je vais suivre vis conseils attentivement, je vais lancer le scann Combofix maintenant et je posterai ça demain à la première heure Ric025 :D
    Merci de m'aider en tout cas :)
    0
    1. Iris
       
      Voici le rapport Combofix. Apparemment, braviax n'a plus recréé ses fichier sous system 32, ceux qui y sont sont toujours ceux qui ont été créés hier :

      ComboFix 09-08-20.07 - moh 22/08/2009 12:07.1.2 - NTFSx86 NETWORK
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1786 [GMT 2:00]
      Running from: c:\documents and settings\moh\Bureau\ComboFix.exe

      WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\moh\Application Data\wiaserva.log
      c:\program files\Internet Explorer\fxavx.ini
      c:\recycler\S-1-5-21-1482276501-1663491937-6831267430-1013
      c:\windows\Fonts\Microsoft Logo 95.ttf
      c:\windows\Fonts\Thin Lizzy Jailbreak.ttf
      c:\windows\Installer\2fbb6f.msi
      c:\windows\system32\braviax.exe

      .
      ((((((((((((((((((((((((( Files Created from 2009-07-22 to 2009-08-22 )))))))))))))))))))))))))))))))
      .

      2009-08-22 01:04 . 2009-08-22 01:04 -------- d-----w- c:\documents and settings\moh\Application Data\dvdcss
      2009-08-22 00:10 . 2009-08-22 00:10 -------- d--h--w- c:\windows\PIF
      2009-08-22 00:05 . 2009-08-22 00:05 -------- d-----w- c:\windows\srchasst
      2009-08-21 22:15 . 2009-08-21 22:16 -------- d-----w- c:\program files\trend micro
      2009-08-21 22:02 . 2009-08-05 17:29 3036024 ----a-w- c:\documents and settings\moh\Application Data\Simply Super Software\Trojan Remover\ehb4F.exe
      2009-08-21 22:00 . 2008-08-26 16:48 99624 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\7390E4F0\6383BC9B\StartRegistryBooster.exe
      2009-08-21 22:00 . 2008-08-26 16:48 757760 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\2B86F085\6383BC9B\UBVarRB.dll
      2009-08-21 22:00 . 2008-08-26 16:48 6676480 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\4E45A1A4\6383BC9B\RegistryBooster.dll
      2009-08-21 22:00 . 2008-08-26 16:48 497496 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\AF01B0B\6383BC9B\XceedZip.dll
      2009-08-21 22:00 . 2008-08-26 16:48 413696 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\52CD59C9\6383BC9B\update.dll
      2009-08-21 22:00 . 2008-08-26 16:48 2019624 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\7CE1607E\6383BC9B\RegistryBooster.exe
      2009-08-21 22:00 . 2008-08-26 16:48 111912 -c--a-w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\registrybooster2\65B92A91\6383BC9B\KillRBProcess.exe
      2009-08-21 20:37 . 2007-12-24 15:37 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys
      2009-08-21 20:27 . 2009-08-21 20:27 0 ----a-r- c:\windows\system32\braviax.exe.vir
      2009-08-21 19:50 . 2009-08-21 22:00 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}
      2009-08-21 09:53 . 2009-08-21 09:53 -------- d--h--w- c:\documents and settings\moh\Voisinage réseau
      2009-08-21 09:50 . 2009-08-22 00:48 -------- d-----w- C:\!KillBox
      2009-08-21 09:50 . 2009-08-21 09:50 -------- d-----w- c:\program files\CCleaner
      2009-08-21 09:44 . 2009-08-21 09:44 574592 ----a-w- c:\windows\system32\drivers\ntfs.sys
      2009-08-21 09:44 . 2009-08-21 09:44 574592 ----a-w- c:\windows\system32\dllcache\ntfs.sys
      2009-08-21 09:12 . 2009-08-21 21:25 -------- d-----w- c:\windows\BDOSCAN8
      2009-08-21 08:59 . 2009-08-21 08:59 -------- dc----w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
      2009-08-20 23:32 . 2009-08-20 23:32 -------- d-sh--w- c:\documents and settings\moh\PrivacIE
      2009-08-19 09:39 . 2009-08-19 09:39 -------- d-----w- c:\program files\Ashampoo
      2009-08-18 22:22 . 2009-08-05 17:29 3036024 ----a-w- c:\documents and settings\moh\Application Data\Simply Super Software\Trojan Remover\xpf8.exe
      2009-08-18 21:10 . 2009-08-18 21:10 -------- d-sh--w- c:\documents and settings\moh\IETldCache
      2009-08-18 20:40 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
      2009-08-18 20:40 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
      2009-08-18 20:40 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
      2009-08-18 20:40 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
      2009-08-18 20:40 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
      2009-08-18 20:40 . 2009-08-19 08:48 -------- d-----w- c:\program files\Trojan Remover
      2009-08-18 20:40 . 2009-08-18 20:40 -------- d-----w- c:\documents and settings\moh\Application Data\Simply Super Software
      2009-08-18 20:40 . 2009-08-18 20:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software
      2009-08-18 20:23 . 2009-08-19 08:48 -------- dc-h--w- c:\windows\ie8
      2009-08-18 20:23 . 2009-08-18 20:23 -------- d-----w- c:\windows\system32\fr-FR
      2009-08-18 15:30 . 2009-08-18 15:30 579072 ----a-w- c:\windows\system32\dllcache\user32.dll
      2009-08-18 15:30 . 2009-08-18 15:30 -------- d-----w- c:\windows\ERUNT
      2009-08-18 15:27 . 2009-08-19 08:48 -------- d-----w- C:\SDFix
      2009-08-18 15:20 . 2009-08-21 08:59 152576 ----a-w- c:\documents and settings\moh\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
      2009-08-18 15:02 . 2009-08-19 09:48 -------- d-----w- c:\documents and settings\moh\Local Settings\Application Data\Ashampoo
      2009-08-18 13:59 . 2009-08-17 16:04 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
      2009-08-18 13:59 . 2009-08-17 16:04 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
      2009-08-18 13:59 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
      2009-08-18 13:59 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
      2009-08-18 13:59 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
      2009-08-18 13:59 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
      2009-08-18 13:59 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
      2009-08-18 13:59 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
      2009-08-18 13:59 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe
      2009-08-17 11:45 . 2009-08-18 08:57 0 ----a-w- c:\windows\system32\drivers\84d2a3b4.sys
      2009-08-15 20:34 . 2009-08-15 20:34 -------- d-----w- c:\documents and settings\moh\Application Data\NCH Software
      2009-08-15 20:33 . 2009-08-15 20:33 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Software
      2009-08-15 20:31 . 2009-08-15 20:35 -------- d-----w- c:\program files\NCH Software
      2009-08-15 09:24 . 2009-08-15 09:24 299144 ----a-w- c:\documents and settings\moh\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-08-15 08:58 . 2009-08-20 09:36 -------- d-----w- c:\documents and settings\moh\Local Settings\Application Data\WMTools Downloaded Files
      2009-08-15 00:49 . 2009-08-15 00:49 -------- d-----w- c:\documents and settings\moh\Local Settings\Application Data\Identities
      2009-08-14 19:33 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-08-14 19:33 . 2009-08-14 19:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-08-14 19:33 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-08-14 11:15 . 2009-08-14 11:15 -------- d-----w- c:\windows\system32\wbem\Repository
      2009-08-14 11:13 . 2009-08-14 11:13 -------- d--h--w- c:\documents and settings\All Users\Application Data\{DBAD239B-FAC1-4B85-B088-1297EA1F859E}
      2009-08-14 11:13 . 2009-08-15 01:14 -------- d-sh--w- c:\documents and settings\moh\UserData
      2009-08-14 11:13 . 2009-08-14 11:13 -------- d--h--w- c:\documents and settings\moh\Voisinage d'impression

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-08-22 00:40 . 2008-04-28 17:08 -------- d-----w- c:\documents and settings\moh\Application Data\OpenOffice.org2
      2009-08-22 00:15 . 2008-04-28 18:12 -------- d-----w- c:\documents and settings\moh\Application Data\Media Player Classic
      2009-08-21 23:39 . 2008-04-28 15:17 664 ----a-w- c:\windows\system32\d3d9caps.dat
      2009-08-21 22:12 . 2009-04-17 10:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-08-21 22:02 . 2009-02-16 21:43 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
      2009-08-21 21:46 . 2009-06-23 19:44 -------- d-----w- c:\program files\RegCleaner
      2009-08-21 07:45 . 2009-04-17 10:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2009-08-21 07:32 . 2009-06-05 15:03 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
      2009-08-19 19:46 . 2009-01-18 22:49 -------- d-----w- c:\program files\Pvm
      2009-08-18 15:17 . 2009-06-23 16:00 -------- d-----w- c:\program files\AGEIA Technologies
      2009-08-14 13:05 . 2008-04-28 17:08 1 ----a-w- c:\documents and settings\moh\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
      2009-08-13 13:25 . 2009-02-19 17:40 -------- d-----w- c:\program files\MuseScore 0.9
      2009-08-08 00:04 . 2009-02-19 17:29 4 ----a-w- c:\windows\system32\mnprxp1.bin
      2009-07-09 23:53 . 2002-09-06 19:00 48856 ----a-w- c:\windows\system32\perfc00C.dat
      2009-07-09 23:53 . 2002-09-06 19:00 368076 ----a-w- c:\windows\system32\perfh00C.dat
      2009-07-09 20:21 . 2009-03-12 17:02 -------- d-----w- c:\program files\LilyPond
      2009-07-09 19:55 . 2009-02-19 17:00 -------- d-----w- c:\program files\Play Guitar 2 - The Shareware
      2009-07-09 19:53 . 2008-05-31 20:19 -------- d-----w- c:\program files\Microsoft ActiveSync
      2009-07-09 19:51 . 2008-05-07 20:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
      2009-07-09 19:23 . 2009-06-22 09:46 -------- d--h--w- c:\program files\InstallShield Installation Information
      2009-07-09 19:23 . 2009-06-22 11:58 -------- d-----w- c:\program files\NETGEAR
      2009-07-09 17:00 . 2009-07-09 17:00 -------- d-----w- c:\program files\Ahead
      2009-07-09 17:00 . 2009-07-09 17:00 -------- d-----w- c:\program files\Fichiers communs\Ahead
      2009-07-08 19:01 . 2009-07-06 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
      2009-07-07 19:49 . 2009-07-07 19:49 -------- d-----w- c:\program files\Techcity
      2009-06-30 12:20 . 2009-06-23 19:43 -------- d-----w- c:\documents and settings\moh\Application Data\vlc
      2009-06-23 16:49 . 2008-04-28 18:15 -------- d-----w- c:\program files\Realtek
      2009-06-23 15:00 . 2009-06-23 15:00 8854 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\Uninstall_Project64__9559F7CA5E344237A2D9D856464AD727.exe
      2009-06-23 15:00 . 2009-06-23 15:00 40960 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe
      2009-06-23 15:00 . 2009-06-23 15:00 40960 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe
      2009-06-23 15:00 . 2009-03-07 12:14 -------- d-----w- c:\program files\Project64 1.6
      2009-06-23 09:41 . 2009-07-01 08:32 341760 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat
      2009-06-18 14:06 . 2009-06-18 14:06 7406 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_bb32ea6.exe
      2009-06-18 14:06 . 2009-06-18 14:06 1078 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_26e91eb.exe
      2009-06-18 14:06 . 2009-06-18 14:06 1078 ----a-r- c:\documents and settings\moh\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_5af141bb.exe
      2009-06-16 19:31 . 2009-06-16 19:31 1683456 ----a-w- c:\program files\mozilla firefox\plugins\cg.dll
      2009-06-16 19:31 . 2009-06-16 19:31 8237056 ----a-w- c:\program files\mozilla firefox\plugins\ElypseCore.dll
      2009-06-16 19:31 . 2009-06-16 19:31 345088 ----a-w- c:\program files\mozilla firefox\plugins\fmodex.dll
      .

      ------- Sigcheck -------

      [-] 2007-04-30 19:16 579072 4D88AAF39ADABFE45958EA1384E2C4FF c:\windows\system32\user32.dll
      [-] 2009-08-18 15:30 579072 4D88AAF39ADABFE45958EA1384E2C4FF c:\windows\system32\dllcache\user32.dll

      [-] 2007-04-30 19:17 360576 BB4D3A8E6F7EB1D370BC4AD27AB23368 c:\windows\system32\drivers\tcpip.sys

      [-] 2007-04-30 19:38 2019328 3E3DF9F5D56B719F055E7D652E79F96B c:\windows\system32\ntkrnlpa.exe

      [-] 2007-04-30 19:17 2139648 DE41F3B43B9F15E08CCD4B98A7BB2CA3 c:\windows\system32\ntoskrnl.exe

      [-] 2007-04-30 19:10 57856 AD3D9D191AEA7B5445FE1D82FFBB4788 c:\windows\system32\spoolsv.exe

      [-] 2007-04-30 19:15 1050624 F57C6EFA25A66C6403958C1E22D59F99 c:\windows\system32\kernel32.dll


      [-] 2007-04-30 19:16 927504 FCD58951B3B2392007E0EE34D2CF944F c:\windows\system32\mfc40u.dll

      [-] 2007-04-30 19:11 398336 B38D431ACE730452CD1FEE4FB7ECD6E2 c:\windows\system32\rpcss.dll

      [-] 2007-04-30 19:14 617472 5BBCD65CFD7610F36BCA96B72BBAED4B c:\windows\system32\comctl32.dll
      [7] 2002-09-06 19:00 921088 AEF3D788DBF40C7C4D204EA45EB0C505 c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
      [-] 2006-08-25 06:51 1054208 47ABF878B9AEC81B23BA5F89DE597B3A c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll

      [-] 2007-05-08 15:25 25088 140EF97B64F560FD78643CAE2CDAD838 c:\windows\system32\mspmsnsv.dll

      [-] 2007-04-30 19:10 249344 C9FA05D271A0066764FE75BE38E24D69 c:\windows\system32\tapisrv.dll

      [-] 2007-04-30 19:11 197632 31748843AD5811351B115CC52CEA8D77 c:\windows\system32\netman.dll

      [-] 2007-04-30 19:11 243200 B56B69129181FF63BAED5EDE65DCC9B1 c:\windows\system32\es.dll

      [-] 2007-04-30 19:16 185344 385DB2591BF11955F26E0A97728B1B31 c:\windows\system32\upnphost.dll


      [-] 2007-04-30 19:16 135680 1839CDF416A5AA8BF2EFE377F57452CC c:\windows\system32\shsvcs.dll

      c:\windows\system32\drivers\beep.sys ... is missing !!
      c:\windows\system32\wscntfy.exe ... is missing !!
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
      "ISUSPM"="c:\documents and settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-08-18 1068424]
      "Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" [2008-06-02 3251800]
      "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2007-03-21 16126464]
      "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-03-16 1822720]
      "SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2005-06-14 90112]
      "AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2006-05-04 2808832]
      "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-03-08 128512]

      c:\documents and settings\moh\Menu D‚marrer\Programmes\D‚marrage\
      ikowin32.exe [2004-8-4 24064]
      OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMConfigurePrograms"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "NoSMConfigurePrograms"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_04\bin\jusched.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "DisablePagingExecutive"=dword:00000001
      "SecondLevelDataCache"=dword:00000200

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

      R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\drivers\FWDRV.SYS [26/04/2007 10:21 102912]
      S1 84d2a3b4;84d2a3b4;c:\windows\system32\drivers\84d2a3b4.sys [17/08/2009 13:45 0]
      S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [18/08/2009 15:59 114768]
      S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/08/2009 15:59 20560]
      S2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
      S2 GemSAFE Card Server;GemSAFE Card Server;c:\program files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe [30/11/2004 15:28 94208]
      S3 GKeyUSB;GKeyUSB;c:\windows\system32\drivers\GKeyUSB.sys [07/10/2008 21:03 62096]
      S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [14/08/2009 21:33 38160]
      S3 portio32;portio32;c:\windows\system32\drivers\portio32.sys --> c:\windows\system32\drivers\portio32.sys [?]
      S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [23/06/2009 17:19 287232]
      S3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys --> c:\windows\system32\DRIVERS\sbfwim.sys [?]

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
      "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
      .
      - - - - ORPHANS REMOVED - - - -

      HKLM-Run-NWEReboot - (no file)
      HKU-Default-Run-LClock - c:\program files\LClock\LClock.exe


      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.fr/
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
      IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
      IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
      IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
      LSP: c:\program files\Ashampoo\Ashampoo FireWall FREE\spi.dll
      DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} - hxxp://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
      FF - ProfilePath - c:\documents and settings\moh\Application Data\Mozilla\Firefox\Profiles\aczg5vww.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np_elypseplugin.dll

      ---- FIREFOX POLICIES ----
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-08-22 12:10
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet005\Services\ASFWHide]
      "ImagePath"="\??\c:\docume~1\moh\LOCALS~1\Temp\ASFWHide"
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------

      [HKEY_USERS\S-1-5-21-1202660629-1229272821-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
      @Allowed: (Read) (RestrictedCode)
      @Allowed: (Read) (RestrictedCode)
      .
      Completion time: 2009-08-22 12:11
      ComboFix-quarantined-files.txt 2009-08-22 10:11

      Pre-Run: 10 842 345 472 octets libres
      Post-Run: 10 823 303 168 octets libres

      Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
      303
      0
  13. ric025
     
    Salut.

    Fais ceci :

    ▶ Télécharge Malwarebytes Anti-Malware (MBAM):

    MBAM

    ▶ Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

    ▶ Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

    ▶ Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

    ▶ Poste le rapport généré.

    ++

    0
  14. Iris
     
    Voilà le dernier rapport Mbam :

    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2675
    Windows 5.1.2600 Service Pack 2 (Safe Mode)

    22/08/2009 15:05:34
    mbam-log-2009-08-22 (15-05-34).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 160353
    Temps écoulé: 9 minute(s), 39 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\moh\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
  15. ric025
     
    Tu ne peux pas démarrer en mode normal ?

    • Télécharge et installe UsbFix par Chiquitine29

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    • Double clique sur le raccourci UsbFix présent sur ton bureau .

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    • Laisse travailler l'outil.

    • Ensuite poste le rapport UsbFix.txt qui apparaitra.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    ++
    0
  16. Iris
     
    Re-salut Ric025 !
    Merci pour ton conseil, voilà le rapport ci-dessous. Je peux me connecter normalement à mon compte utilisateurs, mais quand je le faisais il y a deux jours avec le câble internet branché, le pc redémarrait. Je n'ose pas essayer pour le moment :(

    ############################## | UsbFix V6.020 |

    User : moh (Administrateurs) # HOME-AC0CC65C11
    Update on 20/08/09 by Chiquitine29
    Start at: 15:55:54 | 22/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Genuine Intel(R) CPU 2140 @ 1.60GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 29,29 Go (10,08 Go free) # NTFS
    D:\ -> Disque fixe local # 268,79 Go (145,18 Go free) # NTFS
    E:\ -> Disque CD-ROM
    G:\ -> Disque amovible # 968,23 Mo (680,48 Mo free) [AMILDA] # FAT
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque amovible

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    ################## | Registre # Mountpoints2 |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.020 ! |
    0
  17. ric025
     
    Essaie quand même !! :)

    Puis poste un nouveau rapport RSIT stp. Tu ne devrais avoir que "log.txt", poste-le. :)

    ++
    0
  18. Iris
     
    Salut Ric025 ! Merci pour ta rapidité !

    Bon j'avais vraiment peur mais j'ai suivi ton conseil et pour l'instant tout se passe bien ! Pas de redémarrage c'est vraiment cool !!! Mais bon ne crions pas victoire trop tôt, voilà le rapport demandé : :D

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by moh at 2009-08-22 16:16:08
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 10 GB (34%) free of 30 GB
    Total RAM: 2047 MB (71% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:16:14, on 22/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Trojan Remover\Trjscan.exe
    C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    C:\Documents and Settings\moh\Bureau\RSIT.exe
    C:\Program Files\trend micro\moh.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\LClock.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O4 - Startup: ikowin32.exe
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
    O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
    O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
    O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
    O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)
    0
  19. ric025
     
    Ok, fais ceci :

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Iris, il n'est pas transposable sur un autre ordinateur !

    • Télécharge ce dossier http://sd-1.archive-host.com/membres/up/21362097671547645/Iris.zip
    • Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
    • Un fichier CFScript.txt se trouve à l'intérieur et se place sur le Bureau.

    • Désactive tes logiciels de protection
    • Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur cette image)
    • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    • Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

    Puis fais suivre d'un nouveau RSIT ! ;)

    Je quitte pour l'instant, je reviens plus tard.

    ++
    0
  20. Iris
     
    Oki vilà c'est fait ! Merci encore pour ton aide c'est très sympa Ric025 :)

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by moh at 2009-08-22 18:17:10
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 10 GB (34%) free of 30 GB
    Total RAM: 2047 MB (81% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:17:11, on 22/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Documents and Settings\moh\Bureau\RSIT.exe
    C:\Program Files\trend micro\moh.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O4 - Startup: ikowin32.exe
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
    O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
    O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
    O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
    O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)
    0
  21. ric025
     
    Re,

    J'ai du faire une erreur de copié-collé dans le script. As-tu le dernier rapport Combofix ?

    ++
    0
  • 1
  • 2
  • 3