Virus ou rootkit, help !

Résolu/Fermé
antoum Messages postés 3 Date d'inscription samedi 21 mars 2009 Statut Membre Dernière intervention 24 juillet 2010 - 18 sept. 2009 à 19:58
 anto - 19 sept. 2009 à 21:12
Bonjour,
J'ai un problème de rootkit ou de virus.
Alors voilà : je peux démarrer Vista, mais je ne peux rien faire, et très vite, un message m'indique que Microsoft Windows ne répond plus.
J'ai ensuite démarré Avast sous le Mode sans échec et au démarrage m'indique la présence d'un rootkit que je ne peux pas supprimer ni mettre en quarantaine. Il me propose ensuite de redémarrer mon PC car il détecte un virus actif, l'ordi redémarre donc, mais seul un écran noir s'affiche.
Merci d'avance pour votre aide, désolé si je n'ai pas été précis, mais je suis bien évidemment prêt à compléter.
A voir également:

7 réponses

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 sept. 2009 à 20:05
Bonsoir,

Redémarre en mode sans échec avec prise en charge réseau ce qui te permettra de télécharger les outils.

Après le message d'avast, ne redémarre pas pour revenir sous windows.
Tu restes en mode sans échec.

Télécharge gmer
http://www2.gmer.net/gmer.zip

# dézippe-le (clic droit et extraire sur le bureau )
# Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+
2
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 sept. 2009 à 10:50
Tu restes en mode sans échec avec prise en charge réseau.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
1
Voici le rapport :

ComboFix 09-09-18.02 - Chudzik 19/09/2009 11:22.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2814.1520 [GMT 2:00]
Lancé depuis: c:\users\Chudzik\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-242660060-845572277-1327970371-500
c:\users\Chudzik\AppData\Roaming\.#
c:\windows\Installer\15540b.msi
c:\windows\Suyin.reg
c:\windows\system32\drivers\gasfkyqxthbiby.sys
c:\windows\system32\gasfkyebwepotx.dat
c:\windows\system32\gasfkygvvoebcv.dll
c:\windows\system32\gasfkymkcnecuw.dll
c:\windows\system32\gasfkyqtnphodv.dll
c:\windows\system32\gasfkyyfdrlrcw.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gasfkyeexttsxn
-------\Service_gasfkyeexttsxn


((((((((((((((((((((((((((((( Fichiers créés du 2009-08-19 au 2009-09-19 ))))))))))))))))))))))))))))))))))))
.

2009-09-19 09:31 . 2009-09-19 09:34 -------- d-----w- c:\users\Chudzik\AppData\Local\temp
2009-09-18 17:53 . 2009-09-18 19:10 680 ----a-w- c:\users\Chudzik\AppData\Local\d3d9caps.dat
2009-09-18 15:36 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-09-12 12:11 . 2009-09-12 12:11 -------- d-----w- c:\users\Chudzik\AppData\Local\Aspyr
2009-09-12 12:09 . 2009-09-12 12:09 -------- d-----w- c:\program files\Activision
2009-09-12 11:34 . 2009-09-12 11:34 -------- d-----w- c:\program files\Aspyr
2009-09-09 16:35 . 2009-09-09 16:35 -------- d-----w- c:\users\Chudzik\AppData\Roaming\FUEL
2009-09-09 15:59 . 2009-09-09 15:59 -------- d-----w- c:\program files\Codemasters
2009-09-09 11:33 . 2009-08-14 16:27 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-09-09 11:33 . 2009-08-14 13:48 105984 ----a-w- c:\windows\system32\netiohlp.dll
2009-09-09 11:33 . 2009-08-14 13:49 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-09-09 11:33 . 2009-08-14 13:49 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-09-09 11:33 . 2009-08-14 13:49 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-09-09 11:33 . 2009-08-14 13:49 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-09-09 11:33 . 2009-08-14 13:49 10240 ----a-w- c:\windows\system32\finger.exe
2009-09-09 11:33 . 2009-08-14 15:53 17920 ----a-w- c:\windows\system32\netevent.dll
2009-09-09 11:33 . 2009-08-14 13:49 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-09-09 11:33 . 2009-08-14 13:49 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-09-09 11:33 . 2009-08-14 13:48 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-09-09 11:32 . 2009-06-10 11:41 2868224 ----a-w- c:\windows\system32\mf.dll
2009-09-09 11:32 . 2009-07-11 19:01 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-09-09 11:32 . 2009-07-11 19:01 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-09-09 11:32 . 2009-07-11 19:01 65024 ----a-w- c:\windows\system32\wlanapi.dll
2009-09-09 11:32 . 2009-07-11 17:03 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2009-09-09 11:32 . 2009-07-11 19:01 513536 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-03 10:01 . 2009-08-29 00:14 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-09-03 10:01 . 2009-08-29 00:27 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-27 08:23 . 2009-06-22 10:09 2048 ----a-w- c:\windows\system32\tzres.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-19 09:02 . 2009-03-09 20:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-19 09:02 . 2009-03-09 20:18 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-09-18 15:25 . 2009-02-18 14:17 -------- d-----w- c:\users\Chudzik\AppData\Roaming\uTorrent
2009-09-18 15:18 . 2009-02-18 11:55 -------- d-----w- c:\users\Chudzik\AppData\Roaming\Free Download Manager
2009-09-18 15:16 . 2009-07-08 14:36 -------- d-----w- c:\users\Chudzik\AppData\Roaming\vlc
2009-09-18 15:01 . 2009-02-14 19:57 -------- d-----w- c:\users\Chudzik\AppData\Roaming\dvdcss
2009-09-17 17:44 . 2008-01-21 08:40 669566 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-17 17:44 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-14 19:48 . 2009-04-18 18:51 -------- d-----w- c:\program files\a-squared Free
2009-09-12 12:09 . 2008-12-29 07:32 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-12 10:04 . 2008-11-12 02:56 123336 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-11 13:33 . 2008-12-29 08:16 -------- d-----w- c:\programdata\Microsoft Help
2009-09-10 20:38 . 2009-02-07 12:40 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-10 16:41 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-09-09 15:59 . 2009-04-26 14:59 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2009-08-26 14:50 . 2009-07-26 13:45 -------- d-----w- c:\users\Chudzik\AppData\Roaming\Spotify
2009-08-20 08:06 . 2008-12-29 08:12 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-17 16:10 . 2009-03-09 19:03 1279456 ----a-w- c:\windows\system32\aswBoot.exe
2009-08-17 16:05 . 2009-03-09 19:03 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2009-03-09 19:03 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:05 . 2009-03-09 19:03 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-08-17 16:04 . 2009-03-09 19:03 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2009-03-09 19:03 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:02 . 2009-03-09 19:03 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-08-12 13:48 . 2009-08-12 13:47 -------- d-----w- c:\program files\AV Vcs 7.0 DIAMOND
2009-08-10 13:15 . 2009-08-10 13:15 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-08-10 12:06 . 2009-03-09 21:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-10 09:31 . 2009-03-11 16:35 -------- d-----w- c:\program files\Java
2009-08-08 14:30 . 2009-04-25 09:31 -------- d-----w- c:\program files\SystemRequirementsLab
2009-08-08 14:24 . 2006-11-02 12:37 -------- d-----w- c:\program files\Microsoft Games
2009-08-08 14:15 . 2009-05-16 08:04 -------- d-----w- c:\users\Chudzik\AppData\Roaming\Neverball
2009-08-08 14:13 . 2009-02-27 09:30 -------- d-----w- c:\program files\Kalypso
2009-08-07 17:51 . 2009-08-07 17:51 15308424 ----a-w- c:\windows\system32\xlive.dll
2009-08-07 17:51 . 2009-08-07 17:51 13642888 ----a-w- c:\windows\system32\xlivefnt.dll
2009-08-05 04:18 . 2009-08-05 04:18 48640 ----a-w- c:\windows\system32\drivers\L1E60x86.sys
2009-08-03 11:36 . 2009-03-09 21:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2009-03-09 21:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-26 22:01 . 2009-07-26 21:58 -------- d-----w- c:\program files\ICQ6.5
2009-07-26 22:00 . 2009-07-26 22:00 -------- d-----w- c:\program files\ICQ6Toolbar
2009-07-26 22:00 . 2009-07-26 21:59 -------- d-----w- c:\programdata\ICQ
2009-07-26 20:54 . 2009-07-26 20:54 -------- d-----w- c:\users\Chudzik\AppData\Roaming\Ubisoft
2009-07-26 20:51 . 2009-07-26 20:51 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-07-26 20:51 . 2009-07-26 20:51 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-07-26 20:43 . 2009-04-30 11:24 -------- d-----w- c:\program files\Ubisoft
2009-07-26 13:45 . 2009-07-26 13:45 -------- d-----w- c:\program files\Spotify
2009-07-26 08:57 . 2009-07-26 08:57 -------- d-----w- c:\program files\Atheros
2009-07-26 08:56 . 2009-07-26 08:56 -------- d-----w- c:\programdata\Atheros
2009-07-25 21:27 . 2009-05-30 16:33 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-25 03:23 . 2009-03-30 16:00 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-21 21:52 . 2009-07-29 10:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-07-29 10:00 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-07-29 10:00 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-07-29 10:00 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-17 13:54 . 2009-08-13 09:14 71680 ----a-w- c:\windows\system32\atl.dll
2009-07-15 12:40 . 2009-08-13 09:13 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-07-15 12:39 . 2009-08-13 09:13 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-15 12:39 . 2009-08-13 09:13 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-07-15 12:39 . 2009-08-13 09:13 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\opera\program\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-07-29 16:52 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-02-27 4608]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-08-01 405504]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-05-30 544768]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-25 28672]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-06-17 817672]
"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-09-23 6144]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2008-09-04 2524416]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-09-18 6294048]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2008-09-18 1833504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"Google Update"="c:\users\Chudzik\AppData\Local\Google\Update\GoogleUpdate.exe" /c
"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):9b,23,12,35,43,de,c9,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E825CC91-64A6-44A8-A8E8-FB17ACEBAEC2}"= Profile=Private|Profile=Public|c:\program files\Common Files\Mcafee\MNA\McNaSvc.exe:McAfee Network Agent
"{CC365990-479A-4378-B91E-A032C2C81A6B}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{102D31E6-92CD-44E9-94B6-8BA6CAE680F6}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe
"{6CDBAA9B-3086-4B83-B64E-7741B75CC4FB}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{FE9E2E54-B726-4167-9B4F-9EAB6C6A2231}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe
"{4C6FBDBC-90B5-45A5-A75C-370D4C238D1A}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{624FC882-BE26-4EC9-AD53-D2884FE72C35}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe
"{50586831-6612-461F-B96B-0235340DA453}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{82A2A6F8-27E9-470B-8F0C-32DAA47226CB}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{6C961317-2C31-4517-8416-BD5D3FAFE42D}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{97074D5C-992F-4DF2-A71B-EC10349DA4A9}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{02C97DE6-DB65-49F3-996F-B66BE26A5499}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"TCP Query User{B7EB3899-FBFC-44EF-9E2E-FAA21C095D8B}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{CB4AA5A5-2445-421C-9CE6-28CB27B898A0}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{6309916D-BE8F-4E14-B35A-6728D7E695E9}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{4870E693-81A5-4066-A931-9525070B3813}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"{9AAC0B8E-8922-43E2-8FFC-2B4AA0A388EE}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B608F27B-134F-4700-B2A1-3CEAF68A4AB2}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{EE2F529C-D0BD-47CA-9123-4380177839F8}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{CFE61464-1878-45D5-AFF7-E5BABB8B517D}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{1426CED2-713C-465A-9301-CFD1D412E84D}c:\\program files\\opera\\opera.exe"= UDP:c:\program files\opera\opera.exe:Opera Internet Browser
"UDP Query User{F79B85ED-450D-47DB-866F-C66CE1F30A89}c:\\program files\\opera\\opera.exe"= TCP:c:\program files\opera\opera.exe:Opera Internet Browser
"{4DFE8781-C1B8-46BA-A369-B092C6F3E60A}"= UDP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{0AD3015A-3B36-4576-ACBD-6156EDF4F1C9}"= TCP:c:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"TCP Query User{7693C8B6-013F-4B91-A4F9-515634429118}c:\\program files\\peertv\\peercast.exe"= UDP:c:\program files\peertv\peercast.exe:PeerCast
"UDP Query User{5E0F466C-BE8A-4FAF-A0E2-1B4DF222546B}c:\\program files\\peertv\\peercast.exe"= TCP:c:\program files\peertv\peercast.exe:PeerCast
"TCP Query User{7F767442-659A-4362-A66F-49D655A22FE2}c:\\program files\\spotify\\spotify.exe"= UDP:c:\program files\spotify\spotify.exe:Spotify
"UDP Query User{2034BD8A-4751-42B2-B687-05E38D09ECC7}c:\\program files\\spotify\\spotify.exe"= TCP:c:\program files\spotify\spotify.exe:Spotify
"{FEC43828-F3BD-4F90-BD34-D3635994481D}"= UDP:c:\program files\Ubisoft\Related Designs\ANNO 1404\Anno4.exe:ANNO 1404
"{CF037912-8EB2-43DD-988A-BE09E940344F}"= TCP:c:\program files\Ubisoft\Related Designs\ANNO 1404\Anno4.exe:ANNO 1404
"{C39658CD-0544-437C-81BE-F2861B178D05}"= UDP:c:\program files\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe:ANNO 1404 Web
"{4EBE9205-CAE7-43A7-A22D-BAAF93721343}"= TCP:c:\program files\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe:ANNO 1404 Web
"TCP Query User{3A318B83-7539-4890-A314-18D12027DF30}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ
"UDP Query User{A414A1EE-2607-48CC-948E-2308E4CA2075}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ
"TCP Query User{B9DFED01-E064-4D26-9F98-45628F354A82}c:\\program files\\yahoo!\\messenger\\yahoomessenger.exe"= UDP:c:\program files\yahoo!\messenger\yahoomessenger.exe:Yahoo! Messenger
"UDP Query User{254CADF9-ADAD-4937-8F16-6EB57E75E809}c:\\program files\\yahoo!\\messenger\\yahoomessenger.exe"= TCP:c:\program files\yahoo!\messenger\yahoomessenger.exe:Yahoo! Messenger
"{F10239D0-6FC4-4023-8199-F19F71215E07}"= UDP:c:\program files\Microsoft Games\Rise Of Legends\legends.exe:Rise Of Legends
"{472F8A21-45DE-4C75-B01F-619D7DBEE64E}"= TCP:c:\program files\Microsoft Games\Rise Of Legends\legends.exe:Rise Of Legends
"TCP Query User{70647A48-C696-4C6C-9479-6DF1472BC34A}c:\\users\\chudzik\\appdata\\local\\google\\chrome\\application\\chrome.exe"= UDP:c:\users\chudzik\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"UDP Query User{99065128-0CEF-4125-8BB3-EB5F86A7BC12}c:\\users\\chudzik\\appdata\\local\\google\\chrome\\application\\chrome.exe"= TCP:c:\users\chudzik\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"{02FEE335-6B60-4EB5-A0F0-0A08F78378FA}"= UDP:c:\program files\Codemasters\FUEL\FUEL.exe:FUEL
"{E0B5959A-AD72-4C35-A2B9-1F27475008F0}"= TCP:c:\program files\Codemasters\FUEL\FUEL.exe:FUEL
"TCP Query User{8A72ACBA-967D-42D9-B77D-65C8A3AC623A}c:\\program files\\videolan\\vlc\\vlc.exe"= UDP:c:\program files\videolan\vlc\vlc.exe:VLC media player
"UDP Query User{A08D5C8B-9B31-4598-9B8A-F9678E944BF8}c:\\program files\\videolan\\vlc\\vlc.exe"= TCP:c:\program files\videolan\vlc\vlc.exe:VLC media player

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDSfsu.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSfsu.exe:*:Enabled:eDSfsu
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x86\\encryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\encryption.exe:*:Enabled:encryption
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x86\\decryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\decryption.exe:*:Enabled:decryption
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDSMgr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSMgr.exe:*:Enabled:eDSMgr
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x86\\eDStbmngr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDStbmngr.exe:*:Enabled:eDStbmngr
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDSfsu.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDSfsu.exe:*:Enabled:eDSfsu
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x64\\encryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\encryption.exe:*:Enabled:encryption
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x64\\decryption.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\decryption.exe:*:Enabled:decryption
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDSMgr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDSMgr.exe:*:Enabled:eDSMgr
"c:\\Program Files\\Acer\\Empowering Technology\\eDataSecurity\\x64\\eDStbmngr.exe"= c:\program files\Acer\Empowering Technology\eDataSecurity\x64\eDStbmngr.exe:*:Enabled:eDStbmngr

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [09/03/2009 21:03 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [09/03/2009 21:03 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [09/03/2009 21:03 53328]
R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [03/03/2008 14:11 16384]
R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [29/12/2008 09:44 24576]
R2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [25/04/2008 22:36 45056]
R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE [30/03/2009 16:28 1533808]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\System32\drivers\AtiHdmi.sys [20/02/2009 07:17 95760]
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\System32\drivers\L1E60x86.sys [05/08/2009 06:18 48640]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\System32\drivers\ManyCam.sys [14/01/2008 12:06 21632]
R3 usbfilter;AMD USB Filter Driver;c:\windows\System32\drivers\usbfilter.sys [29/12/2008 09:33 22072]
R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28/03/2007 08:51 43008]
S2 a2freeAeLookupSvc;a-squared Free Service a2freeAeLookupSvc;c:\windows\TEMP\vtewpcmcxv.exe service --> c:\windows\TEMP\vtewpcmcxv.exe service [?]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [25/04/2008 22:36 131072]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [13/05/2009 20:45 55280]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 05:07 24064]
S3 netr28;Ralink 802.11n Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr28.sys [29/12/2008 17:01 419328]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware\SiSoftware Sandra Professional Affaires 2009.SP1\RpcAgentSrv.exe [14/02/2009 19:52 98488]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [06/02/2009 20:54 81704]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-19 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-03-09 09:50]

2009-09-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-242660060-845572277-1327970371-1000Core.job
- c:\users\Chudzik\AppData\Local\Google\Update\GoogleUpdate.exe [2009-02-07 14:43]

2009-09-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-242660060-845572277-1327970371-1000UA.job
- c:\users\Chudzik\AppData\Local\Google\Update\GoogleUpdate.exe [2009-02-07 14:43]

2009-09-19 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-21 11:14]

2009-09-19 c:\windows\Tasks\User_Feed_Synchronization-{EAF03D07-9F08-42AE-AB82-B9DD2D2ACA8E}.job
- c:\windows\system32\msfeedssync.exe [2009-07-29 20:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://yahoo.fr/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=1108&m=aspire_6530
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\users\Chudzik\AppData\Roaming\Mozilla\Firefox\Profiles\xldknoyq.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://m.fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Chudzik\AppData\Local\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\users\Chudzik\AppData\Roaming\Mozilla\Firefox\Profiles\xldknoyq.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 11:33
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-242660060-845572277-1327970371-1000\Software\SecuROM\License information*]
"datasecu"=hex:8c,27,d1,77,cf,cd,d0,db,db,85,c7,fd,88,7d,35,e1,f2,92,15,5c,a4,
28,00,ef,cc,5a,42,36,57,d9,68,b7,5e,73,61,ae,0c,cb,8d,e3,ff,4a,79,33,e4,e1,\
"rkeysecu"=hex:84,5b,e2,dd,27,c8,dc,67,5e,e3,85,ba,bc,09,99,33

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
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

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3836)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\a-squared Free\a2service.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\windows\System32\oodag.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2009-09-19 11:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-19 09:38

Avant-CF: 15 409 676 288 octets libres
Après-CF: 14 814 687 232 octets libres

355 --- E O F --- 2009-09-19 09:17



Et encore une fois u grand merci à toi.
0
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 sept. 2009 à 13:56
Tu dois avoir accès à windows maintenant.
Démarre ta session et vérifie que tu as accès au net.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

# Double-clique sur " RSIT.exe " pour le lancer .
( si sous Vista --> click droit sur le fichier et choisir exécuter en tant qu'administrateur)

# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+
1
Voici le fichier "log.txt" :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Chudzik at 2009-09-19 14:18:13
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 13 GB (12%) free of 114 GB
Total RAM: 2814 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:30, on 19/09/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Users\Chudzik\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Chudzik\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Chudzik\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Chudzik\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Users\Chudzik\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Chudzik\Desktop\RSIT.exe
C:\Program Files\trend micro\Chudzik.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=1108&m=aspire_6530
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: a-squared Free Service a2freeAeLookupSvc (a2freeAeLookupSvc) - Unknown owner - C:\Windows\TEMP\vtewpcmcxv.exe (file missing)
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional Affaires 2009.SP1\RpcAgentSrv.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
0
Et voici le fichier "info.txt" :

info.txt logfile of random's system information tool 1.06 2009-09-19 14:18:33

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.6-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81300000003}
ALTools Update-->"C:\Program Files\ESTsoft\ALUpdate\unins000.exe"
ALZip-->"C:\Program Files\ESTsoft\ALZip\unins000.exe"
ANNO 1404-->"C:\Program Files\InstallShield Installation Information\{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}\setup.exe" -runfromtemp -l0x040c -removeonly
Ashampoo Burning Studio 9.10-->"C:\Program Files\Ashampoo\Ashampoo Burning Studio 9\unins000.exe"
Assistant de connexion Windows Live ID-->MsiExec.exe /X{10A44844-4465-456E-8C97-80BDD4F68845}
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver-->"C:\Program Files\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -runfromtemp -l0x040c -removeonly
Atheros for Acer Driver v7.6.0.239_Foxconn Installation Program-->C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe -runfromtemp -l0x040c -removeonly
AV Voice Changer Software DIAMOND 7.0-->C:\PROGRA~1\AVVCS7~1.0DI\UNWISE.EXE C:\PROGRA~1\AVVCS7~1.0DI\INSTALL.LOG
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
AVIConverter 5.1-->C:\Program Files\AVIConverter\uninst.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Drum Controller Standard Tuning Kit-->C:\Program Files\InstallShield Installation Information\{FC8A7918-D65D-440C-9596-C88185E8DCA4}\setup.exe -runfromtemp -l0x040c
EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
FUEL-->C:\Program Files\InstallShield Installation Information\{F51FF206-2273-4B3E-A90A-4752AE288C12}\setup.exe -runfromtemp -l0x040c -removeonly
Glary Utilities 2.13.0.686-->"C:\Program Files\Glary Utilities\unins000.exe"
Guitar Hero World Tour-->MsiExec.exe /X{A126E617-63F0-4E57-BFA4-7190F5845C39}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
ICQ Toolbar-->C:\Program Files\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Les Sims™ 3-->"C:\Program Files\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe" -runfromtemp -l0x040c -removeonly
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
ManyCam 2.4 (remove only)-->"C:\Program Files\ManyCam 2.4\uninstall.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{2E660A2A-A55F-43CD-9F73-CAD7382EEB78}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F112F66E-25CA-42DD-983C-6118EB38F606}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.4-->MsiExec.exe /I{AE3CF174-872C-46C6-B9F6-C0593F3BC7B8}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0120-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Revo Uninstaller 1.83-->C:\Program Files\VS Revo Group\Revo Uninstaller\uninst.exe
Rise Of Legends-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{CADDE354-C78C-46CB-A006-E2B178EFC271}
Spotify-->"C:\Program Files\Spotify\uninstall.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Superpower 2-->C:\Program Files\InstallShield Installation Information\{40D64BFA-BCA4-454A-81CD-42953E10DE97}\setup.exe
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.0-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Contrôle parental-->MsiExec.exe /X{D6A2DDE3-9D7C-412C-932A-756580D29919}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AS: Spybot - Search and Destroy
AS: Windows Defender

======System event log======

Computer Name: PC-de-Chudzik
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 78369
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090624110019.980423-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Chudzik
Event Code: 7000
Message: Le service Nero BackItUp Scheduler 4.0 n'a pas pu démarrer en raison de l'erreur :
Le fichier spécifié est introuvable.
Record Number: 78276
Source Name: Service Control Manager
Time Written: 20090624082223.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Chudzik
Event Code: 7000
Message: Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur :
Le fichier spécifié est introuvable.
Record Number: 78228
Source Name: Service Control Manager
Time Written: 20090624082223.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Chudzik
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 78212
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090623205740.302000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Chudzik
Event Code: 7000
Message: Le service Nero BackItUp Scheduler 4.0 n'a pas pu démarrer en raison de l'erreur :
Le fichier spécifié est introuvable.
Record Number: 78107
Source Name: Service Control Manager
Time Written: 20090623090424.000000-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-de-Chudzik
Event Code: 11328
Message: Produit : TuneUp Utilities 2009 -- Erreur 1328. Erreur lors de l’application du programme correctif au fichier C:\Config.Msi\PT2636.tmp. Il a sans doute été mis à jour de manière différente et ne peut plus être modifié par ce programme correctif. Pour obtenir des informations complémentaires, contactez le revendeur de votre programme correctif. Erreur système : -1072807676
Record Number: 284120
Source Name: MsiInstaller
Time Written: 20090418120238.000000-000
Event Type: Erreur
User: PC-de-Chudzik\Chudzik

Computer Name: PC-de-Chudzik
Event Code: 11328
Message: Produit : TuneUp Utilities 2009 -- Erreur 1328. Erreur lors de l’application du programme correctif au fichier C:\Config.Msi\PT2636.tmp. Il a sans doute été mis à jour de manière différente et ne peut plus être modifié par ce programme correctif. Pour obtenir des informations complémentaires, contactez le revendeur de votre programme correctif. Erreur système : -1072807676
Record Number: 284119
Source Name: MsiInstaller
Time Written: 20090418120238.000000-000
Event Type: Erreur
User: PC-de-Chudzik\Chudzik

Computer Name: PC-de-Chudzik
Event Code: 11328
Message: Produit : TuneUp Utilities 2009 -- Erreur 1328. Erreur lors de l’application du programme correctif au fichier C:\Config.Msi\PT2636.tmp. Il a sans doute été mis à jour de manière différente et ne peut plus être modifié par ce programme correctif. Pour obtenir des informations complémentaires, contactez le revendeur de votre programme correctif. Erreur système : -1072807676
Record Number: 284118
Source Name: MsiInstaller
Time Written: 20090418120238.000000-000
Event Type: Erreur
User: PC-de-Chudzik\Chudzik

Computer Name: PC-de-Chudzik
Event Code: 11328
Message: Produit : TuneUp Utilities 2009 -- Erreur 1328. Erreur lors de l’application du programme correctif au fichier C:\Config.Msi\PT2636.tmp. Il a sans doute été mis à jour de manière différente et ne peut plus être modifié par ce programme correctif. Pour obtenir des informations complémentaires, contactez le revendeur de votre programme correctif. Erreur système : -1072807676
Record Number: 284117
Source Name: MsiInstaller
Time Written: 20090418120238.000000-000
Event Type: Erreur
User: PC-de-Chudzik\Chudzik

Computer Name: PC-de-Chudzik
Event Code: 11328
Message: Produit : TuneUp Utilities 2009 -- Erreur 1328. Erreur lors de l’application du programme correctif au fichier C:\Config.Msi\PT2636.tmp. Il a sans doute été mis à jour de manière différente et ne peut plus être modifié par ce programme correctif. Pour obtenir des informations complémentaires, contactez le revendeur de votre programme correctif. Erreur système : -1072807676
Record Number: 284116
Source Name: MsiInstaller
Time Written: 20090418120238.000000-000
Event Type: Erreur
User: PC-de-Chudzik\Chudzik

=====Security event log=====

Computer Name: PC-de-Chudzik
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments : 0
ID de la stratégie : 0x146a3
Record Number: 10263
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090416094100.787676-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Chudzik
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0

Type d’ouverture de session : 0

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x4
Nom du processus :

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : -
Package d’authentification : -
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 10262
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090416094100.600475-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Chudzik
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 10261
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090416094100.584874-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Chudzik
Event Code: 1100
Message: Le service d’enregistrement des événements a été arrêté.
Record Number: 10260
Source Name: Microsoft-Windows-Eventlog
Time Written: 20090415201555.770000-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Chudzik
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x66cb8

Type d’ouverture de session : 3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 10259
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090415201551.277200-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;%CommonProgramFiles%\Microsoft Shared\Windows Live;C:\Program Files\Acer\Empowering Technology\eDataSecurity;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem;C:\Program Files\ESTsoft\ALZip;C:\Program Files\Common Files\DivX Shared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"Pathtem"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64
"NTIPath"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\;
"SAN_DIR"=C:\Program Files\SiSoftware\SiSoftware Sandra Professional Affaires 2009.SP1
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
0
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 sept. 2009 à 14:54
1/ Supprime Combofix. Pour cela.

démarrer --> exécuter --> tape : ComboFix /u
Vérifie que le dossier C:\QooBox est bien supprimé sinon fais-le.

2/ Tu as trois antispywares d'actifs sur ton PC : windows defender, A-squared et Spybot
Deux de trop.
Désinstalle-en un. ( Windows defender ne l'enlève pas. il fait partie de Vista )
Garde-en un d'actif et un autre par exemple pour vérification.

Je t'indiques les méthodes pour désactiver ces antispywares :

Pour désactiver SpybotS&D :
Ouvre SpybotS&D --> menu Mode --> Mode avancé --> Outils --> Résident --> décoche Utiliser le tea timer.

Pour désactiver Windows defender :

Dans le panneau de configuration ( affichage classique ) Ouvrir Windows defender
menu outils --> Options --> Protection en temps réel --> decocher " Utiliser la protection en temps réel "

A-Squared, je n'ai jamais installé.

3/ Il reste deux scans à faire pour vérifier que le PC est propre.

Lance malwarebytes. Mets le à jour puis lance un examen complet.
# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

A+
1
Voici le rapport :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 6.0.6002 Service Pack 2

19/09/2009 16:32:10
mbam-log-2009-09-19 (16-32-10).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 288961
Temps écoulé: 1 hour(s), 4 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Encore une fois, je ne peux que te remercier de ton aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 sept. 2009 à 17:51
Je comprends.
Tu devais être bien embêté avec ce rootkit.

Fais un scan en ligne sur le site de BitDefender.
Lis le tuto :
https://forum.pcastuces.com/default.asp

On termine ensuite.

A+
1
Voilà le rapport :


BitDefender Online Scanner - Rapport virus en temps réel





Généré à: Sat, Sep 19, 2009 - 19:00:55







Info d'analyse





Fichiers scannés

137517

Infectés Fichiers

0











Virus Détectés





Aucun virus trouvé.


















Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.





Et donc un énorme merci, encore une fois.
0
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 sept. 2009 à 19:22
1/ Tu peux aller sur le site de secunia pour mettre à jour ton PC :
https://www.flexera.com/products/operations/software-vulnerability-management.html

2/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

3/ Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

utilise les fonctions nettoyeur et registre.

3) Vu l'infection sur le PC, il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.

Les points de restauration :


- Panneau de configuration --> Système --> Restauration du système

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Un peu de lecture. ;-)
projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

En te souhaitant bonne lecture et bon surf.

Salut.
1
Eh bien j'ai suivi tout tes conseils, il ne me reste plus qu'à te dire un grand merci. Alors voilà : MERCI !
0
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-18 20:29:52
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\Chudzik\AppData\Local\Temp\kwtoqfog.sys


---- System - GMER 1.0.15 ----

INT 0x52 ? 86307BF8
INT 0x62 ? 86307BF8
INT 0x62 ? 86307BF8
INT 0x62 ? 86307BF8
INT 0x82 ? 86307BF8
INT 0x91 ? 8499EBF8
INT 0xA1 ? 8499EBF8

Code 86C0E130 ZwEnumerateKey
Code 86C12130 ZwFlushInstructionCache
Code 86E8D2BE ZwSaveKey
Code 86E4646E ZwSaveKeyEx
Code 86C8912D IofCallDriver
Code 86C8512E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 82078912 5 Bytes JMP 86C89132
.text ntkrnlpa.exe!IofCompleteRequest 8207897F 5 Bytes JMP 86C85133
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 821E3EF5 5 Bytes JMP 86C12134
PAGE ntkrnlpa.exe!ZwEnumerateKey 822310BA 5 Bytes JMP 86C0E134
PAGE ntkrnlpa.exe!ZwSaveKey 82286969 5 Bytes JMP 86E8D2C2
PAGE ntkrnlpa.exe!ZwSaveKeyEx 82286B07 5 Bytes JMP 86E46472
? System32\Drivers\spvu.sys Le chemin d'accès spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 8DB4941B 5 Bytes JMP 863071D8

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[1440] SHELL32.dll!SHGetFolderPathAndSubDirW + 81C9 75E8B364 4 Bytes [00, 26, D5, 01] {ADD [ESI], AH; AAD 0x1}

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806076D2] \SystemRoot\System32\Drivers\spvu.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80607040] \SystemRoot\System32\Drivers\spvu.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806077FC] \SystemRoot\System32\Drivers\spvu.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806070BE] \SystemRoot\System32\Drivers\spvu.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060713C] \SystemRoot\System32\Drivers\spvu.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80617048] \SystemRoot\System32\Drivers\spvu.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [73C17817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [73C6A86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [73C1BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [73C0F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [73C175E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [73C0E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73C48395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [73C1DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [73C0FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [73C0FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [73C071CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [73C9CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [73C3C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [73C0D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [73C06853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [73C0687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [73C12AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [01D527E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [01D51D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [01D52B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01D511D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8575D1F8
Device \FileSystem\fastfat \FatCdrom 870321F8
Device \FileSystem\udfs \UdfsCdRom 8701C1F8
Device \FileSystem\udfs \UdfsDisk 8701C1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{9D94F29E-8FEF-4D4D-BF94-912DDCC5667E} 86FD71F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 857591F8
Device \Driver\usbohci \Device\USBPDO-0 863081F8
Device \Driver\usbohci \Device\USBPDO-1 863081F8
Device \Driver\usbehci \Device\USBPDO-2 8630A1F8
Device \Driver\usbohci \Device\USBPDO-3 863081F8
Device \Driver\usbohci \Device\USBPDO-4 863081F8

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-5 8630A1F8
Device \Driver\volmgr \Device\HarddiskVolume1 857591F8
Device \Driver\volmgr \Device\HarddiskVolume2 857591F8
Device \Driver\cdrom \Device\CdRom0 8631B1F8
Device \Driver\PCI_PNP7902 \Device\00000059 spvu.sys
Device \Driver\volmgr \Device\HarddiskVolume3 857591F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8575B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8575B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8575B1F8
Device \Driver\volmgr \Device\HarddiskVolume4 857591F8
Device \Driver\volmgr \Device\HarddiskVolume5 857591F8
Device \Driver\USBSTOR \Device\00000075 86EAF1F8
Device \Driver\sptd \Device\2096867917 spvu.sys
Device \Driver\USBSTOR \Device\00000076 86EAF1F8
Device \Driver\netbt \Device\NetBt_Wins_Export 86FD71F8
Device \Driver\netbt \Device\NetBT_Tcpip_{610AB599-3205-4F36-A32D-5F514C895E94} 86FD71F8
Device \Driver\Smb \Device\NetbiosSmb 86F253C0

AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\iScsiPrt \Device\RaidPort1 863C71F8
Device \Driver\usbohci \Device\USBFDO-0 863081F8
Device \Driver\usbohci \Device\USBFDO-1 863081F8
Device \Driver\usbehci \Device\USBFDO-2 8630A1F8
Device \Driver\usbohci \Device\USBFDO-3 863081F8
Device \Driver\usbohci \Device\USBFDO-4 863081F8
Device \Driver\usbehci \Device\USBFDO-5 8630A1F8
Device \Driver\asbzcj58 \Device\Scsi\asbzcj581 863B41F8
Device \Driver\asbzcj58 \Device\Scsi\asbzcj581Port4Path0Target0Lun0 863B41F8
Device \FileSystem\fastfat \Fat 870321F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

Device \FileSystem\cdfs \Cdfs 875FE1F8
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\gasfkygvvoebcv.dll (*** hidden *** ) @ C:\Windows\Explorer.EXE [1440] 0x10000000

---- EOF - GMER 1.0.15 ----


Merci d'avance, la dernière ligne semble être le problème (Library \\?\globalroot\systemroot\system32\gasfkygvvoebcv.dll (*** hidden *** ) @ C:\Windows\Explorer.EXE [1440] 0x10000000 ) et désolé du reatrd, mais je n'arrive plus à poster de message sur ce forum.
0