virus PC plante Résolu/Fermé

Question

Bonjour,mon pc plante au bout de quelque minute quand je le lance que ce soit en mode sans échec ou en mode normal .

un message d'alerte de mon antivirus et de MBAM qui me dit qu'il y a un virus .

mes page internet sont redirigé vers un site malveillant détecter par Firefox .

je vous met les log de :

MBAM
 
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3299
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18828

05/12/2009 14:06:17
mbam-log-2009-12-05 (14-06-17).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 26489
Temps écoulé: 8 minute(s), 12 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
C:\Program Files\Winsudate\gibsvc.exe (Adware.Gibmedia) -> Unloaded process successfully.
C:\Program Files\Winsudate\gibusr.exe (Adware.Gibmedia) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsvc (Adware.Gibmedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winusr (Adware.Gibmedia) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Winsudate\gibsvc.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Program Files\Winsudate\gibusr.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.

nathan72leking · Answer

bonjour
change de disque dur le tien est mort

hacker13 · Answer

COMMENT CA ?

nathan72leking · Answer

ton disque dur est mort ca ma fait la meme chose il faut le changer

hacker13 · Answer

en atendant voici un log RSIT 

info http://www.cijoint.fr/cj200912/cijS7h0hGC.txt

log http://www.cijoint.fr/cj200912/cijmhI1XlX.txt

blood404 · Answer

salut

aller on arrete les betise natan

hacker13

[list][*]Télécharge [url=http://images.malwareremoval.com/random/RSIT.exe]Random's System Information Tool (RSIT)[/url] de Random/Random, et enregistre le sur ton Bureau.
[*]Double clique sur RSIT.exe pour lancer l'outil.
[*]Clique sur "Continue" à l'écran Disclaimer.
[*]Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
[*]Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp[/list]

Tutoriel illustré pour t'aider : https://www.androidworld.fr/

[url=https://www.androidworld.fr/]Comment héberger les rapports trop longs de RSIT[/url]

hacker13 · Answer

ces fais dans un post au dessus j'étais sur pour le disque dur que cétais une connerie mercis de ton aide .

hacker13 · Answer

voici un autre rapport avec un autre logiciel http://www.cijoint.fr/cj200912/cijEVGuwNb.txt

blood404 · Answer

met a jour MBAM et refais un scan en mode complet

post le rapport

hacker13 · Answer

seul problème ces que la je suis en mode sans échec donc fo que je redémarre et en mode normale sa merde grave mon PC .
par exemple je surf tranquille quand d'un coup sa bug et sous vista il y a un rond qui tourne sur la souris et la sa tourne pendant des heure et je pe plus rien touché a mon pc même ctrl+alt+supr sa ne se lance pas .

blood404 · Answer

pas besion de redemarer en mode normale pour MBAM

hacker13 · Answer

je le lance MBAM en mode sans échec ?

dac mais il met plusieurs heure donc a plus si tes plus la

blood404 · Answer

mais je suis et je serais tokours la

je ne te laissserais pas ten que ton probleme est pas resolue

en mode sans echec tu peux met met le a jour absolument avant

hacker13 · Answer

voila le rapport de MBAM http://www.cijoint.fr/cj200912/cijufsidhY.txt

et j'ai fais en même temps un scan avec avira qui a trouver 104 virus !!!!!!!!!!! voila le rapport 

http://www.cijoint.fr/cj200912/cijXUHsrkd.txt
 

si tes toujours la

Lyonnais92 · Answer

Bonjour,

suite à ta demande en mp.

Mets toi en mode sans échec avec prise en charge réseau.

Tu as 2 antivirus.

Désinstalle Kaspersky (sauf si tu as une licence) :

http://kb.kaspersky.fr/index.php?ShowID=543

===

Télécharge et installe [url=http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe] [COLOR="Blue"][B]UsbFix[/B][/COLOR][/url] de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis Exécuter en tant qu'administrateur .

# Choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .


# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


===
Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200912/cijiObAyFH.rtf

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)) :
 

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom hacker13.reg.

Ouvre ce lien :http://www.cijoint.fr/cjlink.php?file=cj200912/cijIBLI5zs.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Je n'aime pas la création de iastor.sys

hacker13 · Answer

merci de ta réponse je me met tous de suite a ce que tu a dis 

kapersky j'avais oublié de l'enlever merci je ne lance plus au démarrage de Windows .

je suis deja en mode sans echec avec prise en charge résaux donc je m'y met .

hacker13 · Answer

voila usbfix je vais faire le reste http://www.cijoint.fr/cj200912/cijcThlQEY.txt

il ma demandé d'envoyer un fichier sur le site de USBfix je l'ai fais

hacker13 · Answer

j'ai pas tous compris je selectionne ce qui a ecris dans le premier fichier 

puis je mais ce fichier dans ZHPfix sauf que j'ai pas ce fichier . 

ensuite tu mes demande de selectionné ce qui a ecris dans le 2 eme fichier donc je perd ce que j'ai selectionner dans le premier fichier donc la premiére manip elle sert a rien 


desolé de te déranger mais je ve pas faire de connerie

blood404 · Answer

il faut que tu supprime tou ses cracks

Les cracks sont un vecteur de malwares et d'infections très important
En téléchargeant et en exécutant un crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables.

voici un petit lien qui t'expliquera tout

http://forum.malekal.com/ftopic893.php

C:\Utilisateurs\SERRA\AppData\Local\Temp\7zO3E1B.tmp\CrackServer.exe"  
13/09/2005 07:46 |Size 2236234 |Crc32 037d97f6 |Md5 74402eac119439f085ce9202e43e8ec6  
 
"C:\Utilisateurs\SERRA\AppData\Local\Temp\7zOB37D.tmp\Keygen.exe"  
18/05/2000 22:19 |Size 49152 |Crc32 9e23ed27 |Md5 c6ea6dacf74fdd2f0bd70e44c219ef76  
 
"C:\Utilisateurs\SERRA\AppData\Local\Temp\7zOE15A.tmp\keygen.exe"  
31/01/2005 04:32 |Size 69632 |Crc32 e306bc52 |Md5 a39929556e2e990b1d466a717dc5ede6  
 
"C:\Utilisateurs\SERRA\Documents\keygen.exe"  
31/01/2005 04:32 |Size 69632 |Crc32 e306bc52 |Md5 a39929556e2e990b1d466a717dc5ede6  
 
"C:\Utilisateurs\SERRA\Documents\crack\CrackServer.exe"  
13/09/2005 07:46 |Size 2236234 |Crc32 037d97f6 |Md5 74402eac119439f085ce9202e43e8ec6  
 
"C:\Utilisateurs\SERRA\Documents\crack	srh-wolfenstain100MP.exe"  
03/02/2002 15:17 |Size 6516 |Crc32 7d7e0954 |Md5 359399e89f090102116a86a177b05819  
 
"C:\Utilisateurs\SERRA\Documents\crack\wolfenstein.project-51.1.32.cheats.enabler-tsrh.exe"  
01/09/2003 01:50 |Size 12288 |Crc32 8712ea45 |Md5 650211f65637a4609a8fbce10f2780f1  
 
"C:\Utilisateurs\SERRA\Documents\crack\KASPERSKY\Kas_Blacklist_Crack.exe"  
17/12/2009 23:52 |Size 9360610 |Crc32 761aa961 |Md5 9b7cb236ecbbaaceeec55abbfdfd2ab1  
 
"C:\Utilisateurs\SERRA\Documents\crack\MBAM\Keymaker.exe"  
14/09/2009 16:19 |Size 221696 |Crc32 f3b7ac67 |Md5 0db063731924a0547725b3b32ea7d362  
 
"C:\Utilisateurs\SERRA\Downloads\1Million_Serials.exe"  
23/12/2009 02:43 |Size 250084 |Crc32 a80c6710 |Md5 9b55c2cc882f8da051d8c6804dc08269  
 
"C:\Utilisateurs\SERRA\Documents\crack\KASPERSKY\Kisrar.rar" 
-> contain :  kis9.0.0.459en.exe

"C:\Utilisateurs\SERRA\Downloads\Cracks_for_windows_7_x64___x86.rar" 
-> contain :  Cracks for x64 + x86\ALL WORKING ACTIVATORS\7Loader by Hazar 1.5 (Old one, but still works)\7Loader v1.5.exe

"C:\Utilisateurs\SERRA\Downloads\Cracks_for_windows_7_x64___x86.rar" 
-> contain :  Cracks for x64 + x86\ALL WORKING ACTIVATORS\7Loader by Hazar 1.6\Loader.exe

"C:\Utilisateurs\SERRA\Downloads\Cracks_for_windows_7_x64___x86.rar" 
-> contain :  Cracks for x64 + x86\ALL WORKING ACTIVATORS\Windows 7 Loader 1.6.9 by Daz\Windows 7 Loader.exe

"C:\Utilisateurs\SERRA\Downloads\qjodiy6v[1]...CrackServer.rar" 
-> contain :  CrackServer.exe

hacker13 · Answer

merci de continuer de m'aider 
oui je sais pour les crack mais bon je suis rabaisser a sa et j'en suis désolé 


je vais les supprimer  j'en ai plus besoin autre chose niveau infection ?

Lyonnais92 · Answer

Re,

le premier fichier, tu le copies dans un fichier (tu ouvres le Bloc-Notes) que tu enregistres dans le même répertoire que ZHPDiag.exe. Nomme le bien hacker13.reg (comme tu verras, ce nom se retrouve mentionné dans l'autre fichier.

Le second, tu le copies directement dans la zone de ZHPFix.

hacker13 · Answer

désolé du retard voila une autre petite question le fichier que tu m'a demandé de metre dans le dossier de ZHPDiag.exe et pour le 2 eme fichier dans le dossier de ZHPFix ces le même dossier donc je les met au même endroits ?

hacker13 · Answer

voila le rapport du 2 eme fichier 

je fais qoi des 2 fichier reg que tu ma demandé crée ?

le premier fichier y sers a qoi ?

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 24/12/2009 12:43:56
Fichier d'export Registre : C:\ZHPExportRegistry-24-12-2009-12-43-56.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Utilisateurs\SERRA\Documents	rojan\prorate\ProConnective.exe  => Fichier absent
C:\Windows\system32\lservice.exe  => Fichier absent
C:\Windows\system32\wservice.exe  => Fichier absent
C:\Windows\system32\Lcv_sys.exe  => Fichier absent
C:\Windows\Temp\Tcv.exe  => Fichier absent
C:\Windows\system32\Winstart.bat  => Fichier absent
C:\Windows\Temp\Tmp_.exe  => Fichier absent
C:\Windows\System32\Mgadeskdll.exe  => Fichier absent
C:\Windows\System32\Csmctrl32.exe  => Fichier absent
C:\Windows\Rsrcload.exe  => Fichier absent

Module mémoire :
C:\Windows\system32 \Discv.dll  => Fichier absent
C:\Windows\System32\Oiht400.dll  => Fichier absent

Clé du Registre :
O42 - Logiciel: BlazingTools Perfect Keylogger  => Clé supprimée avec succès
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.3.cab  => Clé absente

Valeur du Registre :
O4 - HKCU\..\Run: [ProConnective] C:\Utilisateurs\SERRA\Documents	rojan\prorate\ProConnective.exe /tr:1  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows Reg Services] C:\Windows\system32\ffservice.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Perfect Keylogger Lite  => Dossier absent

Fichier :
c:\utilisateurs\serra\documents	rojan\prorate\proconnective.exe  => Fichier absent
c:\windows\system32\ffservice.exe  => Fichier absent
c:\windows\system32\mkopg.exe  => Fichier absent
c:\windows\winstart.bat  => Supprimé et mis en quarantaine
c:\windows\system32\dyblxyo.vbs  => Supprimé et mis en quarantaine
c:\windows\system32\connect32.dll  => Fichier absent

Logiciel :
O42 - Logiciel: BlazingTools Perfect Keylogger  => Logiciel supprimé avec succès

Script Registre :
REG:hacker13.reg  => Script de registre fusionné

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 10
Module mémoire : 2
Clé du Registre : 2
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 1
Fichier : 6
Logiciel : 1
Autre : 0
Script Registre : 1


End of the scan

hacker13 · Answer

UP

Lyonnais92 · Answer

Bonjour,

juste de passage.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

* lors du téléchargement, on va te demander dans quel répertoire et sous quel nom tu veux enregistrer le fichier. Mets le sur le Bureau comme indiqué dans le tuto. Renomme le antitibs.exe. Il ne sert à rien de le renommer après son enregistrement sur le Bureau.

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

hacker13 · Answer

re avec un peu de retard a cause des fete

commence a avoire marre toute mes pages sont redirigé vers un site malveillant 

je le télecharge OU combofix ?

j'ai chercher dans google pas trouvé

hacker13 · Answer

voila le rapport combofix
j'ai fini par le trouvé
ComboFix 10-01-03.05 - SERRA 04/01/2010  17:22:56.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.1915.1081 [GMT 1:00]
Lancé depuis: c:\utilisateurs\SERRA\Downloads\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Turkojan
c:\program files\Turkojan\English.lng
c:\program files\Turkojan\German.lng
c:\program files\Turkojan\MESAJ.DAT
c:\program files\Turkojan\Portuguese.lng
c:\program files\Turkojan\Spanish.lng
c:\program files\Turkojan\Turkce.lng
c:\program files\Turkojan\unins000.dat
c:\program files\Turkojan\unins000.exe
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\programdata\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Turkojan
c:\programdata\Microsoft\Windows\Start Menu\Programs\Turkojan\Turkojan 4.0.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Turkojan\Uninstall Turkojan 4.0.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Turkojan\Web Site.url
c:\utilisateurs\SERRA\AppData\Roaming\020000001141134e720C.manifest
c:\utilisateurs\SERRA\AppData\Roaming\020000001141134e720O.manifest
c:\utilisateurs\SERRA\AppData\Roaming\020000001141134e720P.manifest
c:\utilisateurs\SERRA\AppData\Roaming\020000001141134e720S.manifest
c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{599e6116-ff33-4827-8600-d84f494fec21}
c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{599e6116-ff33-4827-8600-d84f494fec21}\chrome.manifest
c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{599e6116-ff33-4827-8600-d84f494fec21}\chrome\xulcache.jar
c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{599e6116-ff33-4827-8600-d84f494fec21}\defaults\preferences\xulcache.js
c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{599e6116-ff33-4827-8600-d84f494fec21}\install.rdf
c:\windows\system32\SYSInfo.ocx

----- BITS: Il y a peut-être des sites infectés -----

hxxp://www.symantec.com
hxxp://definitions.symantec.com
.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-04 au 2010-01-04  ))))))))))))))))))))))))))))))))))))
.

2010-01-03 21:23 . 2010-01-02 23:26	697672	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2010-01-03 21:23 . 2010-01-02 23:26	789320	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2009-12-25 02:37 . 2009-12-29 13:47	12800	----a-w-	c:\windows\system32\bootdelete.exe
2009-12-25 02:23 . 2010-01-04 11:07	13896	----a-w-	c:\windows\system32\drivers\hitmanpro35.sys
2009-12-25 02:21 . 2009-12-25 02:37	--------	d-----w-	c:\programdata\Hitman Pro
2009-12-25 02:21 . 2009-12-25 02:21	--------	d-----w-	c:\program files\Hitman Pro 3.5
2009-12-25 02:10 . 2009-12-25 02:10	--------	d-----w-	c:\program files\HTMLProtector
2009-12-25 00:19 . 2009-12-25 00:19	--------	d-----w-	c:\program files\FileZilla FTP Client
2009-12-25 00:08 . 2009-12-25 00:08	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Smart PC Solutions
2009-12-24 23:40 . 2009-12-24 23:40	--------	d-----w-	c:\program files\MsnChecker
2009-12-24 20:54 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-12-24 20:54 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-12-24 20:54 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-12-24 20:54 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-12-24 20:54 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-12-24 20:54 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2009-12-24 20:54 . 2009-11-24 23:49	53328	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2009-12-24 20:54 . 2009-12-24 20:54	--------	d-----w-	c:\program files\Alwil Software
2009-12-24 12:34 . 2009-12-24 12:34	--------	d-----w-	c:\program files\El Juky
2009-12-24 08:43 . 2009-12-24 08:43	--------	d-----w-	c:\windows\system32\Adobe
2009-12-23 19:07 . 2009-12-23 19:22	--------	d-----w-	C:\UsbFix
2009-12-23 17:50 . 2009-12-23 17:52	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\QuickScan
2009-12-23 17:04 . 2009-12-23 17:04	--------	d-----w-	c:\program files\Common Files\Borland Shared
2009-12-23 17:04 . 1999-01-20 04:01	210032	----a-w-	c:\windows\system32\DBCLIENT.DLL
2009-12-23 17:04 . 2009-12-24 11:43	--------	d-----w-	c:\program files\ZebHelpProcess
2009-12-23 16:47 . 2009-12-23 16:48	--------	d-----w-	C:sit
2009-12-23 16:47 . 2009-12-23 16:48	--------	d-----w-	c:\program files	rend micro
2009-12-22 20:40 . 2010-01-01 16:50	--------	d-----w-	c:\utilisateurs\SERRA\Tracing
2009-12-21 08:36 . 2009-12-21 10:55	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-21 04:28 . 2009-12-24 12:24	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Local\Incomplete
2009-12-21 04:25 . 2009-12-21 05:59	--------	d-----w-	c:\utilisateurs\Incomplete
2009-12-21 04:14 . 2009-12-17 19:57	21320	----a-w-	c:\windows\system32\authuitu.dll
2009-12-21 04:14 . 2009-12-17 19:56	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2009-12-21 02:57 . 2009-12-21 02:57	--------	d-----w-	c:\program files\WinPcap
2009-12-21 02:07 . 2009-12-22 19:34	--------	d-----w-	c:\program files\Agnitum
2009-12-21 02:05 . 1998-10-01 14:22	299520	----a-w-	c:\windows\uninst.exe
2009-12-20 23:03 . 1998-10-29 15:45	306688	----a-w-	c:\windows\IsUninst.exe
2009-12-20 23:01 . 2009-12-20 23:01	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\VS Revo Group
2009-12-20 23:01 . 2009-12-20 16:41	27192	----a-w-	c:\windows\system32\driversevoflt.sys
2009-12-20 23:01 . 2009-12-20 23:01	--------	d-----w-	c:\program files\VS Revo Group
2009-12-20 16:27 . 2009-12-20 16:27	--------	d-----w-	c:\programdata\Macrium
2009-12-20 13:08 . 2009-12-20 13:09	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\Smart_PC_Utilities,_Ltd
2009-12-20 12:52 . 2009-12-25 00:31	--------	d-----w-	c:\program files\Smart PC Utilities
2009-12-19 04:19 . 2009-12-19 10:16	--------	d-sh--r-	c:\utilisateurs\Administrateur\AppData\Roaming\windowsupdate
2009-12-19 03:48 . 2009-12-22 17:30	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Nero
2009-12-19 03:31 . 2009-12-19 03:39	--------	d-----w-	c:\program files\Nero
2009-12-19 02:54 . 2009-12-19 03:11	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\TeamViewer
2009-12-19 02:53 . 2009-12-24 23:55	--------	d-----w-	c:\program files\TeamViewer
2009-12-19 02:48 . 2009-12-19 11:51	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Smart PC Solutions
2009-12-17 23:44 . 2009-12-24 20:33	--------	d-----w-	c:\programdata\Kaspersky Lab Setup Files
2009-12-17 22:58 . 2009-12-17 22:58	--------	d-----w-	C:\Incomplete
2009-12-17 22:55 . 2009-12-24 12:27	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\LimeWire
2009-12-17 22:31 . 2009-12-17 23:40	--------	d-----w-	C:\$AVG
2009-12-17 22:30 . 2009-12-18 11:50	--------	d-----w-	c:\programdata\avg9
2009-12-17 22:19 . 2009-12-17 22:19	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\AVG8
2009-12-17 22:12 . 2009-12-17 23:34	--------	d-----w-	c:\programdata\Norton
2009-12-17 17:09 . 2009-12-25 00:23	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\FileZilla
2009-12-17 16:15 . 2009-12-17 16:15	--------	d-----w-	c:\utilisateurs\Default\AppData\Local\Microsoft Help
2009-12-17 16:15 . 2009-12-17 16:15	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2009-12-17 16:05 . 2009-12-17 16:05	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\FreeMi
2009-12-17 15:52 . 2009-12-17 15:52	--------	d-----w-	c:\program files\XBMC
2009-12-17 14:04 . 2009-12-17 14:04	--------	d-----w-	c:\program files\Microsoft Synchronization Services
2009-12-17 14:03 . 2009-12-17 14:03	--------	d-----w-	c:\program files\Microsoft.NET
2009-12-17 14:03 . 2009-12-17 14:03	--------	d-----w-	c:\program files\Microsoft Sync Framework
2009-12-17 14:03 . 2009-12-17 14:03	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
2009-12-17 14:02 . 2009-12-17 14:02	--------	d-----w-	c:\program files\Microsoft Visual Studio 8
2009-12-17 14:00 . 2009-12-17 14:00	--------	d-----w-	c:\program files\Microsoft Analysis Services
2009-12-17 14:00 . 2009-12-17 14:00	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\Microsoft Help
2009-12-17 14:00 . 2009-12-17 16:15	--------	d-----w-	c:\programdata\Microsoft Help
2009-12-17 13:59 . 2009-12-17 13:59	--------	d-----r-	C:\MSOCache
2009-12-14 19:58 . 2009-12-23 05:29	12	----a-w-	c:\windows\bthservsdp.dat
2009-12-13 13:28 . 2009-12-16 16:54	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Download Manager
2009-12-09 20:18 . 2009-11-09 12:31	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-12-09 20:18 . 2009-11-09 12:30	30720	----a-w-	c:\windows\system32\httpapi.dll
2009-12-09 20:18 . 2009-11-09 10:36	411648	----a-w-	c:\windows\system32\drivers\http.sys
2009-12-06 06:00 . 2009-12-06 06:00	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Roaming\TuneUp Software
2009-12-06 05:09 . 2009-12-17 20:03	30536	----a-w-	c:\windows\system32\TURegOpt.exe
2009-12-06 05:09 . 2009-12-06 05:09	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\TuneUp Software
2009-12-06 05:09 . 2009-12-21 04:14	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2009-12-06 05:09 . 2009-12-06 05:09	--------	d-----w-	c:\programdata\TuneUp Software
2009-12-06 05:08 . 2009-12-06 05:08	--------	d-sh--w-	c:\programdata\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2009-12-06 04:01 . 2009-12-06 17:10	--------	d-----w-	c:\windowsepair
2009-12-06 01:11 . 2009-12-06 01:11	29992	----a-w-	c:\windows\system32\drivers\GRD.sys
2009-12-06 00:56 . 2009-12-06 00:56	46536	----a-w-	c:\windows\system32\drivers\PktIcpt.sys
2009-12-06 00:56 . 2009-12-06 00:56	53320	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2009-12-06 00:55 . 2009-12-06 00:55	27720	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2009-12-06 00:55 . 2009-12-06 00:55	40904	----a-w-	c:\windows\system32\drivers\gdwfpcd32.sys
2009-12-06 00:55 . 2009-12-17 22:08	--------	d-----w-	c:\programdata\G DATA
2009-12-06 00:55 . 2009-12-17 22:08	--------	d-----w-	c:\program files\Common Files\G DATA
2009-12-06 00:53 . 2009-12-06 00:53	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\Downloaded Installations

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-04 15:34 . 2008-01-21 08:40	672322	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-04 15:34 . 2008-01-21 08:40	124434	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-03 21:36 . 2009-10-05 18:38	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\vlc
2010-01-02 17:11 . 2009-12-05 12:28	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-01-02 11:04 . 2009-12-05 12:31	5061520	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-30 13:55 . 2009-12-05 12:31	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 13:54 . 2009-12-05 12:28	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-25 00:10 . 2009-10-05 18:38	1	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-24 20:59 . 2008-12-03 10:11	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-24 20:09 . 2009-10-06 20:29	--------	d-----w-	c:\programdata\Avira
2009-12-24 17:55 . 2009-10-17 14:37	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\dvdcss
2009-12-23 19:20 . 2009-11-07 22:52	--------	d-----w-	c:\program files\Windows Live Safety Center
2009-12-23 19:18 . 2008-12-10 11:00	--------	d-----w-	c:\program files\Atlas Magnard
2009-12-22 18:33 . 2009-10-12 20:47	1356	----a-w-	c:\utilisateurs\SERRA\AppData\Local\d3d9caps.dat
2009-12-22 00:44 . 2008-12-09 17:29	--------	d-----w-	c:\program files\QuickTime
2009-12-22 00:43 . 2008-12-09 17:28	--------	d-----w-	c:\programdata\Apple Computer
2009-12-21 04:02 . 2008-12-08 10:51	312344	----a-w-	c:\windows\system32\drivers\iaStor.sys
2009-12-20 16:10 . 2009-12-20 16:10	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-12-19 03:40 . 2009-11-29 09:41	--------	d-----w-	c:\program files\Common Files\Nero
2009-12-19 03:33 . 2009-11-29 09:41	--------	d-----w-	c:\programdata\Nero
2009-12-17 21:33 . 2009-10-23 12:34	--------	d-----w-	c:\program files\ROMMY
2009-12-17 16:04 . 2009-10-05 18:38	122952	----a-w-	c:\utilisateurs\SERRA\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-17 14:04 . 2006-11-02 12:37	--------	d-----w-	c:\program files\MSBuild
2009-12-17 12:26 . 2009-10-16 18:21	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Download Manager
2009-12-16 20:39 . 2009-11-30 19:45	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\RayV
2009-12-16 17:18 . 2009-12-16 17:18	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdRapi_01_00_00.Wdf
2009-12-09 20:41 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-12-06 04:11 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Microsoft Games
2009-12-05 15:39 . 2008-12-03 10:26	--------	d-----w-	c:\program files\Windows Media Components
2009-12-05 15:34 . 2009-12-04 19:25	--------	d-----w-	c:\program files\DMV
2009-12-05 13:06 . 2009-12-05 13:06	484	----a-w-	c:\windows\Fonts\yhrkhry
2009-12-05 12:28 . 2009-12-05 12:28	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Malwarebytes
2009-12-05 12:28 . 2009-12-05 12:28	--------	d-----w-	c:\programdata\Malwarebytes
2009-12-05 12:21 . 2009-12-05 12:21	--------	d-----w-	c:\program files\Dusco
2009-12-04 22:20 . 2009-12-04 22:20	--------	d-----w-	c:\program files\Common Files\EZB Systems
2009-12-04 22:20 . 2009-12-04 22:20	--------	d-----w-	c:\program files\UltraISO
2009-12-04 19:21 . 2009-12-04 19:21	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Participatory Culture Foundation
2009-12-04 19:21 . 2009-12-04 19:21	--------	d-----w-	c:\program files\Participatory Culture Foundation
2009-12-04 18:33 . 2009-12-04 18:33	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\HTML Executable
2009-12-04 18:19 . 2009-11-30 19:51	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Todae
2009-12-04 12:30 . 2009-12-02 17:02	--------	d-----w-	c:\programdata\NOS
2009-12-02 17:02 . 2009-12-02 17:02	--------	d-----w-	c:\program files\NOS
2009-11-30 20:26 . 2009-10-14 19:05	--------	d-----w-	c:\program files\Common Files\Real
2009-11-30 20:24 . 2009-11-30 20:24	--------	d-----w-	c:\program files\Common Files\xing shared
2009-11-30 20:12 . 2009-11-30 20:13	402952	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Real\RealPlayer\setup\AU_setup9.exe
2009-11-30 20:03 . 2009-11-30 20:03	--------	d-----w-	c:\program files\ffdshow
2009-11-30 19:00 . 2009-11-30 19:00	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\AchrafCherti
2009-11-30 18:40 . 2009-11-30 18:40	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Icones
2009-11-29 16:22 . 2009-11-29 16:22	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Canneverbe_Limited
2009-11-29 16:21 . 2009-11-29 16:21	--------	d-----w-	c:\programdata\Canneverbe Limited
2009-11-26 12:00 . 2009-11-18 08:59	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming	uxmath
2009-11-25 21:01 . 2009-11-25 21:01	86576	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-11-25 21:01 . 2009-11-25 21:01	392728	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Services Windows Live.dll
2009-11-25 21:01 . 2009-11-25 21:01	132672	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-11-22 21:22 . 2009-11-22 21:22	552	----a-w-	c:\utilisateurs\SERRA\AppData\Local\d3d8caps.dat
2009-11-22 18:37 . 2009-11-22 18:37	--------	d-----w-	c:\program files\Elements Interactive
2009-11-21 06:40 . 2009-12-09 10:23	916480	----a-w-	c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 10:23	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 10:23	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 10:23	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-11-20 20:54 . 2008-12-10 13:38	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2009-11-20 20:54 . 2008-12-10 13:38	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-11-17 08:33 . 2009-11-17 08:33	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Apple Computer
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\program files\Common Files\Apple
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\program files\Apple Software Update
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\programdata\Apple
2009-11-16 02:13 . 2009-11-16 02:13	216576	----a-w-	c:\windows\system32\drivers\Rtlh86.sys
2009-11-15 16:55 . 2009-11-15 16:55	--------	d-----w-	c:\program files\Intel Corporation
2009-11-12 06:24 . 2009-11-12 06:24	94208	----a-w-	c:\windows\system32\RTNUninst32.dll
2009-11-09 18:06 . 2009-11-09 18:06	--------	d-----w-	c:\program files\Microsoft
2009-11-09 18:06 . 2009-11-09 18:06	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-11-09 18:06 . 2009-11-07 21:53	--------	d-----w-	c:\program files\Windows Live
2009-11-09 18:04 . 2009-11-09 18:04	--------	d-----w-	c:\program files\Common Files\Windows Live
2009-11-09 16:53 . 2008-12-03 09:58	--------	d-----w-	c:\program files\Java
2009-11-08 07:56 . 2009-10-05 22:01	--------	d-----w-	c:\program files\Common Files\Steam
2009-11-08 07:54 . 2008-12-30 01:45	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-11-07 22:08 . 2008-12-10 13:32	--------	d-----w-	c:\program files\Mozilla Thunderbird
2009-11-07 21:56 . 2009-11-07 21:53	--------	dcsh--w-	c:\program files\Common Files\WindowsLiveInstaller
2009-11-07 21:53 . 2009-11-07 21:53	--------	d-----w-	c:\programdata\WLInstaller
2009-11-02 19:42 . 2009-10-05 20:34	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-31 08:15 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-10-29 09:17 . 2009-11-25 13:00	2048	----a-w-	c:\windows\system32	zres.dll
2009-10-14 19:05 . 2004-10-07 18:40	348160	----a-w-	c:\windows\system32\msvcr71.dll
2009-10-11 17:26 . 2009-10-11 17:26	2165	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\.purple\certificates\x509	ls_peerssi.hotmail.com
2009-10-11 17:26 . 2009-10-11 17:26	2161	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\.purple\certificates\x509	ls_peers\contacts.msn.com
2009-10-11 17:26 . 2009-10-11 17:26	2095	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\.purple\certificates\x509	ls_peers\login.live.com
2009-10-11 12:54 . 2009-10-11 12:54	1060864	----a-w-	c:\windows\system32\MFC71.dll
2009-10-11 03:17 . 2008-12-18 14:27	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-08 21:08 . 2009-10-31 07:44	555520	----a-w-	c:\windows\system32\UIAutomationCore.dll
2009-10-08 21:08 . 2009-10-31 07:44	234496	----a-w-	c:\windows\system32\oleacc.dll
2009-10-08 21:07 . 2009-10-31 07:44	4096	----a-w-	c:\windows\system32\oleaccrc.dll
2009-10-08 10:17 . 2009-10-08 10:17	98304	----a-w-	c:\windows\system32\CmdLineExt.dll
2009-10-07 11:36 . 2009-12-09 10:23	243712	----a-w-	c:\windows\system32astls.dll
2003-03-21 11:45 . 2008-12-10 13:59	250544	----a-w-	c:\program files\Common Files\keyhelp.ocx
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]
2009-11-03 20:12	556432	----a-w-	c:\progra~1\MICROS~4\Office14\URLREDIR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdc.exe" [2007-01-24 563080]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-12-30 429392]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Red‚marrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 02:08	35696	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33	417792	----a-w-	c:\program files\Camera Assistant Software for Toshiba	raybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
2008-06-30 17:29	229376	----a-w-	c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\hyperappel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06	509816	----a-w-	c:\program files\TOSHIBA\SmoothView\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27	431456	----a-w-	c:\program files\TOSHIBA\Power Saver\TPwrMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ProConnective"=c:\utilisateurs\SERRA\Desktop\prorat\ProConnective.exe /tr:1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe"  -osboot
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d3,28,29,8c,70,46,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-1003]
"EnableNotificationsRef"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-1005]
"EnableNotificationsRef"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-500]
"EnableNotificationsRef"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [24/12/2009 21:54 114768]
R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\System32\drivers\RtlProt.sys [08/12/2008 12:06 25896]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [24/12/2009 21:54 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [24/12/2009 21:54 53328]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe -k HsfXAudioService [21/01/2008 03:23 21504]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [05/12/2009 13:28 235344]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [06/02/2008 14:12 126976]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [17/12/2009 21:00 1044808]
R3 FwLnk;FwLnk Driver;c:\windows\System32\drivers\FwLnk.sys [03/12/2008 11:37 7168]
R3 MBAMProtector;MBAMProtector;c:\windows\System32\drivers\mbam.sys [05/12/2009 13:28 19160]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26/09/2009 04:28 4639136]
R3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\System32\driverstl8187B.sys [03/12/2008 11:18 290304]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [29/10/2009 10:22 30603640]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers
pf.sys [14/11/2007 20:40 34448]
S3 Revoflt;Revoflt;c:\windows\System32\driversevoflt.sys [21/12/2009 00:01 27192]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\System32\drivers\ScreamingBAudio.sys [27/03/2009 14:23 23064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc ehstart
rpcss	REG_MULTI_SZ   	RpcSs
DcomLaunch	REG_MULTI_SZ   	PlugPlay DcomLaunch
wdisvc	REG_MULTI_SZ   	WdiServiceHost
HsfXAudioService	REG_MULTI_SZ   	HsfXAudioService
GPSvcGroup	REG_MULTI_SZ   	GPSvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-01-02 c:\windows\Tasks\Malwarebytes' Scheduled Update for SERRA.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-12-05 13:55]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\utilisateurs\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Program%20Files/Oise/Graphique/Ordi60/sub/Bienvenue.html
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKCU-Run-ProConnective - c:\utilisateurs\SERRA\Documents\prorat\ProConnective.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-01-04  17:34:58
ComboFix-quarantined-files.txt  2010-01-04 16:34

Avant-CF: 3 157 929 984 octets libres
Après-CF: 6 922 104 832 octets libres

- - End Of File - - DD91F5C82A87E2D47F800C1A5764AE66

Lyonnais92 · Answer

Bonsoir,

Télécharge GMER Rootkit Scanner du lien suivant :

http://www.gmer.net/#files

- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

    * Sections
    * IAT/EAT
    * **Assure-toi que "Show All" est décoché**


- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.

hacker13 · Answer

voila j'ai fais comme tu ma dit 

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 15:22:20
Windows 6.0.6002 Service Pack 2
Running: quzfhl0b.exe; Driver: C:\UTILIS~1\SERRA\AppData\Local\Temp\kwrciuob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                                                                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver	dx \Device\Udp                                                                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{80fdd6f9-b09e-4389-8bf3-c4b8f66e6442}@Dhcpv6State  1

---- EOF - GMER 1.0.15 ----

Lyonnais92 · Answer

Bonjour,

rien dans ce rapport Gmer.

l'ordi plante toujours ?

tu es toujours redirigé ?

hacker13 · Answer

oui mon PC plante toujours , mes page internet sont redirigé mon ordi a planté après avoir fais le scan de GMER  j'ai lessais allumée mon pc pendant un moment puis quand je suis revenue l'écran est devenue tous noir avec marqué que ma carte graphique a planté j'ai redémarrer et sa remarche mes il y a toujours des bug par exemple j'ai regardé une vidéo daylimotion est je l'ai mis en plein écran la vidéo tourne sans problème mais impossible de sortir du mode plein écran .

Lyonnais92 · Answer

Bonsoir,

 Télécharge seaf.exe  de C__XX


*Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista).

*Une fenêtre Cmd va s'ouvrir.

*Tape [Noreg] , [moreoption], iastor.sys  dans cette fenêtre et "Entrée".

*Patiente pendant la recherche.

*Une fenêtre avec un log .txt va s'afficher.
 
*Copie/colle ce rapport dans ta prochaine réponse.


====

hacker13 · Answer

voila le rapports 

1. ========================= SEAF 1.0.0.6 - C_XX | 12:37:29,16
2. 
3. Valeur(s) recherchée(s):
4. 
5. [moreoption]
6. iastor.sys
7. 
8. (!) --- Recherche Registre occultée
9. 
10. ========================= Fichier(s)/Dossier(s):
11.  
12. "C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys"
13. MD5: db0cc620b27a928d968c1a1e9cd9cb87 | --a------ | 15/04/2008 17:53
14.  
15. =========================
16.  
17. "C:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys"
18. MD5: 8d58627fef3f8767665d9f4dc91cbd97 | --a------ | 15/04/2008 17:54
19.  
20. =========================
21.  
22. "C:\Windows\System32\drivers\iaStor.sys"
23. MD5: db0cc620b27a928d968c1a1e9cd9cb87 | --a------ | 21/12/2009 05:02
24.  
25. =========================
26.  
27. "C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_77c04a30\iaStor.sys"
28. MD5: db0cc620b27a928d968c1a1e9cd9cb87 | --a------ | 15/04/2008 17:53
29.  
30. =========================
31.  
32. 
33. ========================= E.O.F | 12:48:15,11

Lyonnais92 · Answer

Bonsoir,

ouvre l'Explorateur Windows, cherche 

C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys

clic droit et Copier.

Va sur C:\ et clic droit et copier.

Renomme le truc.bak.

===

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to move:
C:	ruc.bak | C:\Windows\System32\drivers\iaStor.sys
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

===

Du mieux ?

hacker13 · Answer

voila le rapport 
gfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "C:	ruc.bak|C:\Windows\System32\drivers\iaStor.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Bonsoir,

cette manip a changé des choses ?

hacker13 · Answer

mon ordi va mieux mais la connexion internet plante tous le temps elle est devenue très longue a partir d'hier et je ne sais pas pourquoi ?

Lyonnais92 · Answer

Bonsoir,

refais tourner Combofix dans les conditions données par le tutoriel et poste le rapport.

hacker13 · Answer

je n'arive pas a lancer combofix je l'ai telecharger mais il m'affiche une erreuer ou je pe le le telecharger ?

merci de continuer de m'aidez

Lyonnais92 · Answer

Bonjour,

mets à jour MBAM, fais une analyse rapide et poste le rapport.

hacker13 · Answer

voila le raport il a trouver un trojan 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3563
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

14/01/2010 19:11:48
mbam-log-2010-01-14 (19-11-48).txt

Type de recherche: Examen rapide
Eléments examinés: 115526
Temps écoulé: 9 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lyonnais92 · Answer

Bonsoir,

supprime combofix.exe sur ton Bureau.

Retélécharge le ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Mets le sur ton Bureau et appelles le antitruc.exe (tu le fais avant que le fichier soit enregistré, au moment où on te demlande où et sous quel nom tu veux l'enregistrer.

Tu l'exécutes comme dit dans le tutoriel que je t'ai donné.

hacker13 · Answer

voila le rapport
 ComboFix 10-01-14.01 - SERRA 14/01/2010  21:13:53.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.1915.998 [GMT 1:00]
Lancé depuis: c:\utilisateurs\SERRA\Desktop\antilaurent.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-14 au 2010-01-14  ))))))))))))))))))))))))))))))))))))
.

2010-01-14 20:23 . 2010-01-14 20:23	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local	emp
2010-01-14 20:23 . 2010-01-14 20:23	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local	emp
2010-01-14 18:36 . 2010-01-14 18:36	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Microsoft Web Folders
2010-01-14 18:00 . 2010-01-14 18:00	--------	d-----w-	c:\program files\VS Revo Group
2010-01-13 11:22 . 2009-10-19 13:38	156672	----a-w-	c:\windows\system32	2embed.dll
2010-01-13 11:22 . 2009-10-19 13:35	72704	----a-w-	c:\windows\system32\fontsub.dll
2010-01-12 15:37 . 2010-01-11 16:33	789320	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2010-01-12 15:37 . 2010-01-11 16:32	698184	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2010-01-09 12:28 . 2009-11-12 12:48	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2010-01-09 12:27 . 2010-01-09 12:28	--------	d-----w-	c:\program files\CDBurnerXP
2010-01-09 01:30 . 2010-01-14 18:32	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Livestation
2010-01-09 01:30 . 2010-01-09 01:30	--------	d-----w-	c:\utilisateurs\SERRA\Livestation
2010-01-09 01:30 . 2010-01-09 01:30	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Mchid
2010-01-09 01:30 . 2010-01-09 01:30	413696	----a-w-	c:\windows\system32\wrap_oal.dll
2010-01-09 01:30 . 2010-01-09 01:30	--------	d-----w-	c:\program files\OpenAL
2010-01-09 01:30 . 2010-01-09 01:30	110592	----a-w-	c:\windows\system32\OpenAL32.dll
2010-01-09 01:28 . 2010-01-09 01:28	--------	d-----w-	c:\windows\system32\spp
2010-01-09 01:18 . 2010-01-09 01:18	1397	----a-w-	c:\windows\Uninstall.cmd
2010-01-09 00:30 . 2010-01-09 00:30	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Local\PeerTV
2010-01-09 00:28 . 2010-01-09 00:28	--------	d-----w-	c:\program files\PeerTV
2010-01-09 00:27 . 2010-01-09 00:27	--------	d-----w-	c:\program files\FireMagic screensaver
2010-01-08 23:57 . 2010-01-08 23:57	--------	d-----w-	c:\program files\ASPack
2010-01-07 11:37 . 2010-01-07 11:48	--------	d-----w-	c:\program files\SEAF
2010-01-05 20:24 . 2010-01-05 22:33	--------	d-----w-	c:\program files\Maïdo Production
2010-01-04 23:00 . 2010-01-04 23:00	122952	----a-w-	c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-01-04 23:00 . 2010-01-04 23:00	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\TuneUp Software
2010-01-04 19:13 . 2010-01-06 19:42	--------	d-----w-	c:\program files\adslTV
2009-12-25 02:37 . 2009-12-29 13:47	12800	----a-w-	c:\windows\system32\bootdelete.exe
2009-12-25 02:23 . 2010-01-14 19:50	13896	----a-w-	c:\windows\system32\drivers\hitmanpro35.sys
2009-12-25 02:21 . 2009-12-25 02:37	--------	d-----w-	c:\programdata\Hitman Pro
2009-12-25 02:21 . 2009-12-25 02:21	--------	d-----w-	c:\program files\Hitman Pro 3.5
2009-12-25 02:10 . 2009-12-25 02:10	--------	d-----w-	c:\program files\HTMLProtector
2009-12-25 00:19 . 2010-01-11 11:35	--------	d-----w-	c:\program files\FileZilla FTP Client
2009-12-25 00:08 . 2009-12-25 00:08	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Smart PC Solutions
2009-12-24 20:54 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-12-24 20:54 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-12-24 20:54 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-12-24 20:54 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-12-24 20:54 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-12-24 20:54 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2009-12-24 20:54 . 2009-11-24 23:49	53328	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2009-12-24 20:54 . 2009-12-24 20:54	--------	d-----w-	c:\program files\Alwil Software
2009-12-24 12:34 . 2009-12-24 12:34	--------	d-----w-	c:\program files\El Juky
2009-12-24 08:43 . 2009-12-24 08:43	--------	d-----w-	c:\windows\system32\Adobe
2009-12-23 19:07 . 2009-12-23 19:22	--------	d-----w-	C:\UsbFix
2009-12-23 17:50 . 2010-01-09 00:12	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\QuickScan
2009-12-23 17:04 . 2009-12-23 17:04	--------	d-----w-	c:\program files\Common Files\Borland Shared
2009-12-23 17:04 . 1999-01-20 04:01	210032	----a-w-	c:\windows\system32\DBCLIENT.DLL
2009-12-23 17:04 . 2009-12-24 11:43	--------	d-----w-	c:\program files\ZebHelpProcess
2009-12-23 16:47 . 2009-12-23 16:48	--------	d-----w-	C:sit
2009-12-23 16:47 . 2009-12-23 16:48	--------	d-----w-	c:\program files	rend micro
2009-12-22 20:40 . 2010-01-14 18:04	--------	d-----w-	c:\utilisateurs\SERRA\Tracing
2009-12-21 08:36 . 2009-12-21 10:55	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-21 04:28 . 2010-01-13 02:14	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Local\Incomplete
2009-12-21 04:25 . 2010-01-04 16:35	--------	d-----w-	c:\utilisateurs\Incomplete
2009-12-21 04:14 . 2009-12-17 19:57	21320	----a-w-	c:\windows\system32\authuitu.dll
2009-12-21 04:14 . 2009-12-17 19:56	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2009-12-21 02:57 . 2009-12-21 02:57	--------	d-----w-	c:\program files\WinPcap
2009-12-21 02:07 . 2009-12-22 19:34	--------	d-----w-	c:\program files\Agnitum
2009-12-21 02:05 . 1998-10-01 14:22	299520	----a-w-	c:\windows\uninst.exe
2009-12-20 23:03 . 1998-10-29 15:45	306688	----a-w-	c:\windows\IsUninst.exe
2009-12-20 23:01 . 2009-12-20 23:01	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\VS Revo Group
2009-12-20 16:27 . 2009-12-20 16:27	--------	d-----w-	c:\programdata\Macrium
2009-12-20 13:08 . 2009-12-20 13:09	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\Smart_PC_Utilities,_Ltd
2009-12-20 12:52 . 2009-12-25 00:31	--------	d-----w-	c:\program files\Smart PC Utilities
2009-12-19 04:19 . 2009-12-19 10:16	--------	d-sh--r-	c:\utilisateurs\Administrateur\AppData\Roaming\windowsupdate
2009-12-19 03:48 . 2009-12-22 17:30	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Nero
2009-12-19 03:31 . 2010-01-09 12:22	--------	d-----w-	c:\program files\Nero
2009-12-19 02:54 . 2009-12-19 03:11	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\TeamViewer
2009-12-19 02:53 . 2009-12-24 23:55	--------	d-----w-	c:\program files\TeamViewer
2009-12-19 02:48 . 2009-12-19 11:51	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Smart PC Solutions
2009-12-17 23:44 . 2009-12-24 20:33	--------	d-----w-	c:\programdata\Kaspersky Lab Setup Files
2009-12-17 22:58 . 2009-12-17 22:58	--------	d-----w-	C:\Incomplete
2009-12-17 22:55 . 2010-01-13 11:09	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\LimeWire
2009-12-17 22:30 . 2009-12-18 11:50	--------	d-----w-	c:\programdata\avg9
2009-12-17 22:19 . 2009-12-17 22:19	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\AVG8
2009-12-17 22:12 . 2009-12-17 23:34	--------	d-----w-	c:\programdata\Norton
2009-12-17 17:09 . 2010-01-11 23:08	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\FileZilla
2009-12-17 16:15 . 2009-12-17 16:15	--------	d-----w-	c:\utilisateurs\Default\AppData\Local\Microsoft Help
2009-12-17 16:15 . 2009-12-17 16:15	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2009-12-17 16:05 . 2009-12-17 16:05	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\FreeMi
2009-12-17 15:52 . 2009-12-17 15:52	--------	d-----w-	c:\program files\XBMC
2009-12-17 14:00 . 2009-12-17 14:00	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Local\Microsoft Help
2009-12-17 14:00 . 2010-01-14 18:13	--------	d-----w-	c:\programdata\Microsoft Help

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 20:03 . 2009-10-05 18:38	1	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-14 19:53 . 2008-01-21 08:40	672322	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-14 19:53 . 2008-01-21 08:40	124434	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-14 19:03 . 2009-10-05 18:38	121328	----a-w-	c:\utilisateurs\SERRA\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-14 18:12 . 2006-11-02 12:37	--------	d-----w-	c:\program files\MSBuild
2010-01-13 12:23 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-01-09 01:20 . 2009-12-05 12:28	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-01-08 23:00 . 2009-12-05 12:31	5115824	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-07 15:07 . 2009-12-05 12:31	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-12-05 12:28	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-06 19:42 . 2009-10-05 18:38	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\vlc
2010-01-05 22:33 . 2010-01-05 20:24	--------	d-----w-	c:\program files\Maïdo Production
2010-01-04 19:42 . 2008-12-10 14:02	--------	d-----w-	c:\program files\VideoLAN
2009-12-24 20:59 . 2008-12-03 10:11	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-24 20:09 . 2009-10-06 20:29	--------	d-----w-	c:\programdata\Avira
2009-12-24 17:55 . 2009-10-17 14:37	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\dvdcss
2009-12-23 19:20 . 2009-11-07 22:52	--------	d-----w-	c:\program files\Windows Live Safety Center
2009-12-23 19:18 . 2008-12-10 11:00	--------	d-----w-	c:\program files\Atlas Magnard
2009-12-23 05:29 . 2009-12-14 19:58	12	----a-w-	c:\windows\bthservsdp.dat
2009-12-22 18:33 . 2009-10-12 20:47	1356	----a-w-	c:\utilisateurs\SERRA\AppData\Local\d3d9caps.dat
2009-12-22 00:44 . 2008-12-09 17:29	--------	d-----w-	c:\program files\QuickTime
2009-12-22 00:43 . 2008-12-09 17:28	--------	d-----w-	c:\programdata\Apple Computer
2009-12-21 04:14 . 2009-12-06 05:09	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2009-12-20 16:10 . 2009-12-20 16:10	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-12-19 03:40 . 2009-11-29 09:41	--------	d-----w-	c:\program files\Common Files\Nero
2009-12-19 03:33 . 2009-11-29 09:41	--------	d-----w-	c:\programdata\Nero
2009-12-17 22:08 . 2009-12-06 00:55	--------	d-----w-	c:\programdata\G DATA
2009-12-17 22:08 . 2009-12-06 00:55	--------	d-----w-	c:\program files\Common Files\G DATA
2009-12-17 21:33 . 2009-10-23 12:34	--------	d-----w-	c:\program files\ROMMY
2009-12-17 20:03 . 2009-12-06 05:09	30536	----a-w-	c:\windows\system32\TURegOpt.exe
2009-12-17 12:26 . 2009-10-16 18:21	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Download Manager
2009-12-16 20:39 . 2009-11-30 19:45	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\RayV
2009-12-16 17:18 . 2009-12-16 17:18	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdRapi_01_00_00.Wdf
2009-12-16 16:54 . 2009-12-13 13:28	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Download Manager
2009-12-06 06:00 . 2009-12-06 06:00	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Roaming\TuneUp Software
2009-12-06 05:09 . 2009-12-06 05:09	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\TuneUp Software
2009-12-06 05:09 . 2009-12-06 05:09	--------	d-----w-	c:\programdata\TuneUp Software
2009-12-06 05:08 . 2009-12-06 05:08	--------	d-sh--w-	c:\programdata\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2009-12-06 04:11 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Microsoft Games
2009-12-06 01:11 . 2009-12-06 01:11	29992	----a-w-	c:\windows\system32\drivers\GRD.sys
2009-12-06 00:56 . 2009-12-06 00:56	46536	----a-w-	c:\windows\system32\drivers\PktIcpt.sys
2009-12-06 00:56 . 2009-12-06 00:56	53320	----a-w-	c:\windows\system32\drivers\MiniIcpt.sys
2009-12-06 00:55 . 2009-12-06 00:55	27720	----a-w-	c:\windows\system32\drivers\GDBehave.sys
2009-12-06 00:55 . 2009-12-06 00:55	40904	----a-w-	c:\windows\system32\drivers\gdwfpcd32.sys
2009-12-05 15:39 . 2008-12-03 10:26	--------	d-----w-	c:\program files\Windows Media Components
2009-12-05 15:34 . 2009-12-04 19:25	--------	d-----w-	c:\program files\DMV
2009-12-05 13:06 . 2009-12-05 13:06	484	----a-w-	c:\windows\Fonts\yhrkhry
2009-12-05 12:28 . 2009-12-05 12:28	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Malwarebytes
2009-12-05 12:28 . 2009-12-05 12:28	--------	d-----w-	c:\programdata\Malwarebytes
2009-12-05 12:21 . 2009-12-05 12:21	--------	d-----w-	c:\program files\Dusco
2009-12-04 22:20 . 2009-12-04 22:20	--------	d-----w-	c:\program files\Common Files\EZB Systems
2009-12-04 22:20 . 2009-12-04 22:20	--------	d-----w-	c:\program files\UltraISO
2009-12-04 19:21 . 2009-12-04 19:21	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Participatory Culture Foundation
2009-12-04 19:21 . 2009-12-04 19:21	--------	d-----w-	c:\program files\Participatory Culture Foundation
2009-12-04 18:33 . 2009-12-04 18:33	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\HTML Executable
2009-12-04 18:19 . 2009-11-30 19:51	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Todae
2009-12-04 12:30 . 2009-12-02 17:02	--------	d-----w-	c:\programdata\NOS
2009-12-02 17:02 . 2009-12-02 17:02	--------	d-----w-	c:\program files\NOS
2009-11-30 20:26 . 2009-10-14 19:05	--------	d-----w-	c:\program files\Common Files\Real
2009-11-30 20:24 . 2009-11-30 20:24	--------	d-----w-	c:\program files\Common Files\xing shared
2009-11-30 20:12 . 2009-11-30 20:13	402952	----a-w-	c:\utilisateurs\SERRA\AppData\Roaming\Real\RealPlayer\setup\AU_setup9.exe
2009-11-30 20:03 . 2009-11-30 20:03	--------	d-----w-	c:\program files\ffdshow
2009-11-30 19:00 . 2009-11-30 19:00	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\AchrafCherti
2009-11-30 18:40 . 2009-11-30 18:40	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming\Icones
2009-11-29 16:22 . 2009-11-29 16:22	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Canneverbe_Limited
2009-11-29 16:21 . 2009-11-29 16:21	--------	d-----w-	c:\programdata\Canneverbe Limited
2009-11-26 12:00 . 2009-11-18 08:59	--------	d-----w-	c:\utilisateurs\Administrateur\AppData\Roaming	uxmath
2009-11-25 21:01 . 2009-11-25 21:01	86576	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-11-25 21:01 . 2009-11-25 21:01	392728	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Services Windows Live.dll
2009-11-25 21:01 . 2009-11-25 21:01	132672	----a-w-	c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-11-22 21:22 . 2009-11-22 21:22	552	----a-w-	c:\utilisateurs\SERRA\AppData\Local\d3d8caps.dat
2009-11-22 18:37 . 2009-11-22 18:37	--------	d-----w-	c:\program files\Elements Interactive
2009-11-21 06:40 . 2009-12-09 10:23	916480	----a-w-	c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 10:23	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 10:23	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 10:23	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-11-20 20:54 . 2008-12-10 13:38	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2009-11-20 20:54 . 2008-12-10 13:38	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-11-17 08:33 . 2009-11-17 08:33	--------	d-----w-	c:\utilisateurs\SERRA\AppData\Roaming\Apple Computer
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\program files\Common Files\Apple
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\program files\Apple Software Update
2009-11-17 08:32 . 2009-11-17 08:32	--------	d-----w-	c:\programdata\Apple
2009-11-16 02:13 . 2009-11-16 02:13	216576	----a-w-	c:\windows\system32\drivers\Rtlh86.sys
2009-11-12 06:24 . 2009-11-12 06:24	94208	----a-w-	c:\windows\system32\RTNUninst32.dll
2009-11-09 12:31 . 2009-12-09 20:18	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-11-09 12:30 . 2009-12-09 20:18	30720	----a-w-	c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-09 20:18	411648	----a-w-	c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-05 20:34	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-31 08:15 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-10-29 09:17 . 2009-11-25 13:00	2048	----a-w-	c:\windows\system32	zres.dll
2003-03-21 11:45 . 2008-12-10 13:59	250544	----a-w-	c:\program files\Common Files\keyhelp.ocx
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdc.exe" [2007-01-24 563080]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Red‚marrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 02:08	35696	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33	417792	----a-w-	c:\program files\Camera Assistant Software for Toshiba	raybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
2008-06-30 17:29	229376	----a-w-	c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\hyperappel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06	509816	----a-w-	c:\program files\TOSHIBA\SmoothView\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27	431456	----a-w-	c:\program files\TOSHIBA\Power Saver\TPwrMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"{D4F4CDD9-A1BB-D31B-DB26-4C388B4307CD}"=c:\utilisateurs\Administrateur\AppData\Roaming\watson32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d3,28,29,8c,70,46,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-1003]
"EnableNotificationsRef"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-1005]
"EnableNotificationsRef"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2332586857-578166098-4569380-500]
"EnableNotificationsRef"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [24/12/2009 21:54 114768]
R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\System32\drivers\RtlProt.sys [08/12/2008 12:06 25896]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [24/12/2009 21:54 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [24/12/2009 21:54 53328]
R2 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe -k HsfXAudioService [21/01/2008 03:23 21504]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [05/12/2009 13:28 236368]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [06/02/2008 14:12 126976]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [17/12/2009 21:00 1044808]
R3 FwLnk;FwLnk Driver;c:\windows\System32\drivers\FwLnk.sys [03/12/2008 11:37 7168]
R3 MBAMProtector;MBAMProtector;c:\windows\System32\drivers\mbam.sys [05/12/2009 13:28 19160]
R3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\System32\driverstl8187B.sys [03/12/2008 11:18 290304]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers
pf.sys [14/11/2007 20:40 34448]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\System32\drivers\ScreamingBAudio.sys [27/03/2009 14:23 23064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService	REG_MULTI_SZ   	HsfXAudioService
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
bthsvcs	REG_MULTI_SZ   	BthServ
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-01-12 c:\windows\Tasks\Malwarebytes' Scheduled Update for SERRA.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-12-05 15:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\utilisateurs\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Program%20Files/Oise/Graphique/Ordi60/sub/Bienvenue.html
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 21:23
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows\TEMP\TMP00000064E91F358DCA0FF4B0 524288 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-01-14  21:28:27
ComboFix-quarantined-files.txt  2010-01-14 20:28
ComboFix2.txt  2010-01-04 16:34

Avant-CF: 11 679 240 192 octets libres
Après-CF: 15 043 166 208 octets libres

- - End Of File - - 93B06FFE56408D68BB1230BDEAA260CF

Lyonnais92 · Answer

Bonjour,

que sais tu de ces répertoires :

2009-12-17 22:58 . 2009-12-17 22:58 -------- d-----w- C:\Incomplete 
2009-12-21 04:25 . 2010-01-04 16:35 -------- d-----w- c:\utilisateurs\Incomplete
2009-12-21 04:28 . 2010-01-13 02:14 -------- d-----w- c:\utilisateurs\Administrateur\AppDa­ta\Local\Incomplete 

et de celui-ci 

2009-12-20 16:27 . 2009-12-20 16:27 -------- d-----w- c:\programdata\Macrium 

===

Comment va l'ordi actuellement ?

hacker13 · Answer

l'ordi bug certain logiciel merde ces trois repertoire 
2009-12-17 22:58 . 2009-12-17 22:58 -------- d-----w- C:\Incomplete
2009-12-21 04:25 . 2010-01-04 16:35 -------- d-----w- c:\utilisateurs\Incomplete
2009-12-21 04:28 . 2010-01-13 02:14 -------- d-----w- c:\utilisateurs\Administrateur

sont les endrois ou limewire enregistre ces dossier mais je n'ai rien télécharger ces temps ci ?

Lyonnais92 · Answer

Bonsoir,

Macrium ?

Fais ce scan en ligne (coche toutes les cases à chaque fois) https://www.eset.com/
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

hacker13 · Answer

je te poste pas de rapport car il n'a rien trouvée et ne met rien dans le rapport

Lyonnais92 · Answer

Bonjour,

Télécharge GMER Scanner de rootkit

- télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.

- exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.

- le chargement va prendre une minute.

- si des rootkits sont décelés, répond non  quand on te demande si tu veux  faire un scan complet (Full scan).

- règle les paramètres (fenêtre de droite) de la manière suivante :

# Sections : décochée
# IAT/EAT : décochée
# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée

clique sur "SCAN" puis patiente...

En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "160110.txt"

Double clique sur "160110.txt" ; le fichier s'ouvre dans le bloc-notes
.
Copie le contenu et colle le dans ta réponse.

hacker13 · Answer

voila le rapport vue que tu l'avais déjà demandé de le faire précédemment je pense qu'il na rien trouvé enfin 
ma connexion plante souvent l'ordi est lent quand je regarde des film sur mon ordi sa bug avec des arrêts fréquents et des logiciel qui plante sans raisons mémé en les réinstallant bref tous va mal

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-20 12:49:55
Windows 6.0.6002 Service Pack 2
Running: 28vcjxur.exe; Driver: C:\UTILIS~1\SERRA\AppData\Local\Temp\kwrciuob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver	dx \Device\Udp                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Lyonnais92 · Answer

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}]



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

hacker13 · Answer

voila le rapports http://www.cijoint.fr/cj201001/cijTPCM87f.txt

hacker13 · Answer

et j'ai fait un rapport rsit info : http://www.cijoint.fr/cj201001/cijBUqBVWk.txt

et log http://www.cijoint.fr/cj201001/cijBPf33aX.txt

Lyonnais92 · Answer

Bonsoir,

Macrium ?

hacker13 · Answer

de quoi macrium ces quoi macrium ????????????????????????????????????

Lyonnais92 · Answer

Re,

remonte au post 45.

hacker13 · Answer

je fais quoi maintenant ?

Lyonnais92 · Answer

Bonjour,

tu réponds à ma question.

hacker13 · Answer

ben pour tous te dire y comme un probleme de comprénsion entre nous car de une meme aprés avoir lus le post 47 je comprend toujours pas ce ces que macrium 

*JE suis peu etre trés con mais fo m'explique SVP

Trying2 · Answer

Hello à vous deux,

Z'allez pas y passer l'année ^^.

https://www.commentcamarche.net/s/macrium

hacker13 · Answer

merci beaucoup trying 

ben pour répondre a la question je sais pas du tout d'où sa viens car je n'ai jamais utiliser ce logiciel ?

j'avais jamais vue ce fichier avant !!!!

Lyonnais92 · Answer

Bonjour,

mais ce logiciel est installé sur ton ordi :

https://www.commentcamarche.net/faq/11588-macrium-reflect-faire-une-image-de-son-systeme ?

hacker13 · Answer

ben je le voie pas dans panneau de configuration ?

hacker13 · Answer

ben je le vois pas dans ajout et désinstallation de programme mais j'ai plein d'autre problème

écran bleu au démarrage de ten en ten

un gros problème d'icône qui se change se double se supprime icône changé de nom et quand je ve changer de nom impossible message d'erreur et il me renomme toute les icône ?? tien une image pour voir l'état de mes icône http://www.cijoint.fr/cj201001/cijcHRAXw6.jpg

connexion internet qui plante toute les heur environ 

programme qui plante 

quand je lance VLC et que fais ouvrir un nouveu fichier il me met sur le dernier dossier ouvert et a chaque fois je tombe sur windows systeme 32

malheur soi sur moi je n'ai pas de CD de réinstallation et pas de CD de récupération non plus je suis sous vista et la je dis HELP

Lyonnais92 · Answer

Bonjour,

pourquoi pas de DVD de Windows ?

===
Télécharge la dernière version de ZHPDiag

(télécharge même si tu as déjà une ancienne version)

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.


pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

hacker13 · Answer

tu n'a pas mi de lien pour ci joint mais ces pas grave je connais 
en faite l'ordi que j'ai ne m'appartient pas il 'a été prêter a tous les collégien de l'Oise et donc moi mais y avais pas de cd de restauration ? 

le rapport n'a pas durée longtemps moins DE 5 minute ?  

après le scan ma connexion internet a planter et j'ai pas pu t'envoyer le rapport de suite 

enfin bref voila ou est situé le rapports 

http://www.cijoint.fr/cjlink.php?file=cj201001/cijG5D3TvJ.txt

Lyonnais92 · Answer

Re,

je ne suis pas sûr que tu n'ais pas ajouté quelques logiciels non prévus.

===

On va commencer comme ça, même si ça m'éronnerait que ça résolve grand chose.

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.


Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Coche la case devant ces lignes (et elles seules)

O64 - Services: - (.no file.) - AVG9IDSDriver (AVGIDSDrivervtx)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSDRIVERVTX
O64 - Services: - (.no file.) - AVG9IDSFilter (AVGIDSFiltervtx)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSFILTERVTX
O64 - Services: - (.no file.) - AVG9IDSShim (AVGIDSShimvtx)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSSHIMVTX
O64 - Services: - (.no file.) - kwrciuob (kwrciuob)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KWRCIUOB

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
===

Si ça n'a pas été fait, fait redémarrer l'ordi.

Du mieux ?

hacker13 · Answer

sa n'a servie a rien y a y que des 0 partout mais pas moyen de sortir le rapport

Lyonnais92 · Answer

Bonjour,

il y a des 0 partout à quel moment de la procédure ?

hacker13 · Answer

a la fin  je lance la  procédure sa dure 10 seconde et ensuite sa m'affiche un rapport est dedans  registry 0
un truc comme sa pareil pour les autre nom

Lyonnais92 · Answer

Re,

refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

hacker13 · Answer

desolé du temp que j'ai mis j'avais des examen 

j'ai formater donc je n'ai plus besoin de ton aide merci quand meme 

a bientot

Lyonnais92 · Answer

Bonjour,

de rien pour l'aide.

Virus PC plante

71 réponses