Rootkit avec extension .sys
Fermé
Mimi
-
27 déc. 2009 à 12:00
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 7 janv. 2010 à 22:12
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 7 janv. 2010 à 22:12
A voir également:
- Rootkit avec extension .sys
- Hiberfil sys - Guide
- Extension dat - Guide
- Extension .bin - Guide
- Changer extension fichier - Guide
- Extension 7z - Guide
12 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
27 déc. 2009 à 12:18
27 déc. 2009 à 12:18
Bonjour,
Commence par ceci :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
Commence par ceci :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
31 déc. 2009 à 03:57
31 déc. 2009 à 03:57
mimi,
1/ Tes supports amovibles sont infectés.
Télécharge http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe ( par Chiquitine29 ) sur ton bureau.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
2/ Télécharge gmer
http://www2.gmer.net/gmer.zip
Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
# dézippe-le (clic droit et extraire sur le bureau )
# Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
1/ Tes supports amovibles sont infectés.
Télécharge http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe ( par Chiquitine29 ) sur ton bureau.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
2/ Télécharge gmer
http://www2.gmer.net/gmer.zip
Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
# dézippe-le (clic droit et extraire sur le bureau )
# Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Merci
############################## | UsbFix V6.069 |
User : ACTUALITES NEPHROLOG (Administrateurs) # ACER-564DF136B7
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:02:56 | 01/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 091231-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,33 Go (24,95 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 71,84 Go (71,82 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 496
C:\WINDOWS\system32\csrss.exe 940
C:\WINDOWS\system32\winlogon.exe 1028
C:\WINDOWS\system32\services.exe 1076
C:\WINDOWS\system32\lsass.exe 1088
C:\WINDOWS\system32\svchost.exe 1268
C:\WINDOWS\system32\svchost.exe 1340
C:\WINDOWS\System32\svchost.exe 1496
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1568
C:\WINDOWS\system32\svchost.exe 1648
C:\WINDOWS\system32\svchost.exe 1820
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 568
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 596
C:\Program Files\Alwil Software\Avast4\ashServ.exe 680
C:\WINDOWS\system32\spoolsv.exe 228
C:\WINDOWS\system32\svchost.exe 328
C:\WINDOWS\system32\drivers\CDAC11BA.EXE 580
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 708
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 928
C:\Program Files\Java\jre6\bin\jqs.exe 1040
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1476
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1764
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1792
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe 244
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 404
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 1004
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 1360
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 1224
C:\WINDOWS\system32\svchost.exe 1540
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2152
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3092
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3124
C:\WINDOWS\system32\wbem\unsecapp.exe 3136
C:\WINDOWS\system32\wbem\wmiprvse.exe 3164
C:\WINDOWS\system32\wbem\wmiprvse.exe 3248
C:\WINDOWS\System32\alg.exe 3520
C:\WINDOWS\System32\svchost.exe 2052
C:\WINDOWS\Explorer.EXE 1864
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe 1508
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1860
C:\WINDOWS\RTHDCPL.EXE 2724
C:\WINDOWS\system32\igfxtray.exe 2832
C:\WINDOWS\system32\igfxpers.exe 2928
C:\WINDOWS\system32\igfxsrvc.exe 2888
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 2992
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe 3332
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe 3384
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 3640
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe 3692
C:\PROGRA~1\LAUNCH~1\LManager.exe 860
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1552
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1396
C:\DOCUME~1\ACTUAL~1\LOCALS~1\Temp\RtkBtMnt.exe 3708
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 3772
C:\WINDOWS\system32\ctfmon.exe 3856
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 980
C:\WINDOWS\system32\wbem\unsecapp.exe 3236
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe 1940
C:\Program Files\Electronic Arts\EADM\Core.exe 2556
C:\WINDOWS\system32\igfxext.exe 1444
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe 2996
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe 3676
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 3296
C:\WINDOWS\system32\msdtc.exe 5908
C:\WINDOWS\system32\dllhost.exe 4084
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 4188
C:\WINDOWS\system32\wuauclt.exe 2948
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 916
C:\Program Files\bfgclient\bfgclient.exe 4648
C:\Program Files\Internet Explorer\iexplore.exe 5248
C:\Program Files\Internet Explorer\iexplore.exe 5776
C:\Program Files\Internet Explorer\iexplore.exe 4808
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{314ee1e4-47a9-11dd-8ecc-001d722480c4}
Shell\AutoRun\command =ie.exe
Shell\explore\Command =ie.exe
Shell\open\Command =ie.exe
HKCU\..\..\Explorer\MountPoints2\{314ee1e6-47a9-11dd-8ecc-001d722480c4}
Shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{770c1ec5-15b4-11dd-8eb7-001cbfc4b709}
Shell\Auto\command =G:\printer.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL printer.exe
HKCU\..\..\Explorer\MountPoints2\{770c1eca-15b4-11dd-8eb7-001cbfc4b709}
Shell\auto\command =Knight.exe open
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
Shell\explore\command =Knight.exe open
Shell\find\command =Knight.exe open
Shell\install\command =Knight.exe open
Shell\open\command =Knight.exe open
HKCU\..\..\Explorer\MountPoints2\{8875a916-15b7-11dd-8eb8-001cbfc4b709}
Shell\AutoRun\command =isetup.exe
Shell\explore\Command =isetup.exe
Shell\open\Command =isetup.exe
HKCU\..\..\Explorer\MountPoints2\{8875a91e-15b7-11dd-8eb8-001d722480c4}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{8875a920-15b7-11dd-8eb8-001d722480c4}
Shell\AutoRun\command =o.exe
Shell\explore\Command =o.exe
Shell\open\Command =o.exe
HKCU\..\..\Explorer\MountPoints2\{e09f319f-151b-11dd-8eb6-001cbfc4b709}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # UsbFix V6.069 ! |
############################## | UsbFix V6.069 |
User : ACTUALITES NEPHROLOG (Administrateurs) # ACER-564DF136B7
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:02:56 | 01/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 091231-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,33 Go (24,95 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 71,84 Go (71,82 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 496
C:\WINDOWS\system32\csrss.exe 940
C:\WINDOWS\system32\winlogon.exe 1028
C:\WINDOWS\system32\services.exe 1076
C:\WINDOWS\system32\lsass.exe 1088
C:\WINDOWS\system32\svchost.exe 1268
C:\WINDOWS\system32\svchost.exe 1340
C:\WINDOWS\System32\svchost.exe 1496
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1568
C:\WINDOWS\system32\svchost.exe 1648
C:\WINDOWS\system32\svchost.exe 1820
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 568
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 596
C:\Program Files\Alwil Software\Avast4\ashServ.exe 680
C:\WINDOWS\system32\spoolsv.exe 228
C:\WINDOWS\system32\svchost.exe 328
C:\WINDOWS\system32\drivers\CDAC11BA.EXE 580
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 708
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 928
C:\Program Files\Java\jre6\bin\jqs.exe 1040
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1476
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1764
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1792
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe 244
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 404
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 1004
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 1360
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 1224
C:\WINDOWS\system32\svchost.exe 1540
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2152
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3092
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3124
C:\WINDOWS\system32\wbem\unsecapp.exe 3136
C:\WINDOWS\system32\wbem\wmiprvse.exe 3164
C:\WINDOWS\system32\wbem\wmiprvse.exe 3248
C:\WINDOWS\System32\alg.exe 3520
C:\WINDOWS\System32\svchost.exe 2052
C:\WINDOWS\Explorer.EXE 1864
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe 1508
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1860
C:\WINDOWS\RTHDCPL.EXE 2724
C:\WINDOWS\system32\igfxtray.exe 2832
C:\WINDOWS\system32\igfxpers.exe 2928
C:\WINDOWS\system32\igfxsrvc.exe 2888
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 2992
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe 3332
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe 3384
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 3640
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe 3692
C:\PROGRA~1\LAUNCH~1\LManager.exe 860
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1552
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1396
C:\DOCUME~1\ACTUAL~1\LOCALS~1\Temp\RtkBtMnt.exe 3708
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 3772
C:\WINDOWS\system32\ctfmon.exe 3856
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 980
C:\WINDOWS\system32\wbem\unsecapp.exe 3236
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe 1940
C:\Program Files\Electronic Arts\EADM\Core.exe 2556
C:\WINDOWS\system32\igfxext.exe 1444
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe 2996
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe 3676
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 3296
C:\WINDOWS\system32\msdtc.exe 5908
C:\WINDOWS\system32\dllhost.exe 4084
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 4188
C:\WINDOWS\system32\wuauclt.exe 2948
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 916
C:\Program Files\bfgclient\bfgclient.exe 4648
C:\Program Files\Internet Explorer\iexplore.exe 5248
C:\Program Files\Internet Explorer\iexplore.exe 5776
C:\Program Files\Internet Explorer\iexplore.exe 4808
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{314ee1e4-47a9-11dd-8ecc-001d722480c4}
Shell\AutoRun\command =ie.exe
Shell\explore\Command =ie.exe
Shell\open\Command =ie.exe
HKCU\..\..\Explorer\MountPoints2\{314ee1e6-47a9-11dd-8ecc-001d722480c4}
Shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{770c1ec5-15b4-11dd-8eb7-001cbfc4b709}
Shell\Auto\command =G:\printer.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL printer.exe
HKCU\..\..\Explorer\MountPoints2\{770c1eca-15b4-11dd-8eb7-001cbfc4b709}
Shell\auto\command =Knight.exe open
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
Shell\explore\command =Knight.exe open
Shell\find\command =Knight.exe open
Shell\install\command =Knight.exe open
Shell\open\command =Knight.exe open
HKCU\..\..\Explorer\MountPoints2\{8875a916-15b7-11dd-8eb8-001cbfc4b709}
Shell\AutoRun\command =isetup.exe
Shell\explore\Command =isetup.exe
Shell\open\Command =isetup.exe
HKCU\..\..\Explorer\MountPoints2\{8875a91e-15b7-11dd-8eb8-001d722480c4}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{8875a920-15b7-11dd-8eb8-001d722480c4}
Shell\AutoRun\command =o.exe
Shell\explore\Command =o.exe
Shell\open\Command =o.exe
HKCU\..\..\Explorer\MountPoints2\{e09f319f-151b-11dd-8eb6-001cbfc4b709}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
################## | Cracks > Keygens > Serials |
################## | ! Fin du rapport # UsbFix V6.069 ! |
Je n'ai pas pu obtenir le rapport. J'ai désactivé l'antivirus et le pare-feu mais chaque fois (j'ai essayé trois fois), mon ordi se trouvait bloqué en cours d'analyse. La troisième fois, l'ordi a redémarré de lui-même et m'a signalé que Windows a rencontré un problème qu'il n'a pas pu résoudre et a du redémarrer. Symptômes: Un message s'affiche sur un écran bleu avec des informations de code d'erreur (par exemple : 0x0000001E, KMODE_EXCEPTION_NOT_HANDLED).
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2010 à 08:38
2 janv. 2010 à 08:38
Re,
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir
• Double clic sur usbfix.exe présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
A+
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir
• Double clic sur usbfix.exe présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
A+
############################## | UsbFix V6.069 |
User : ACTUALITES NEPHROLOG (Administrateurs) # ACER-564DF136B7
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:55:47 | 02/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100102-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,33 Go (24,87 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 71,84 Go (71,82 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 953,73 Mo (859,3 Mo free) [MARION] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 484
C:\WINDOWS\system32\csrss.exe 956
C:\WINDOWS\system32\winlogon.exe 1008
C:\WINDOWS\system32\services.exe 1056
C:\WINDOWS\system32\lsass.exe 1068
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\svchost.exe 1320
C:\WINDOWS\System32\svchost.exe 1468
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1532
C:\WINDOWS\system32\svchost.exe 1620
C:\WINDOWS\system32\svchost.exe 1772
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 240
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 272
C:\Program Files\Alwil Software\Avast4\ashServ.exe 504
C:\WINDOWS\system32\spoolsv.exe 1276
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1664
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 1716
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 752
C:\Program Files\Google\Update\GoogleUpdate.exe 1304
C:\Program Files\Google\Update\GoogleUpdate.exe 1608
C:\WINDOWS\Explorer.EXE 1392
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 216
C:\Program Files\Java\jre6\bin\jqs.exe 644
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 688
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1360
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1448
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe 1912
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 1944
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 1124
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 2184
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2284
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2344
C:\WINDOWS\system32\svchost.exe 2372
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2580
C:\WINDOWS\system32\wuauclt.exe 2672
C:\WINDOWS\system32\wbem\wmiprvse.exe 3936
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 4084
C:\WINDOWS\system32\wbem\unsecapp.exe 560
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 616
C:\WINDOWS\system32\wbem\wmiprvse.exe 2028
C:\WINDOWS\System32\alg.exe 2768
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-3675357479-2593398044-840836666-1008
Supprimé ! C:\Recycler\S-1-5-21-3675357479-2593398044-840836666-1010
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{314ee1e4-47a9-11dd-8ecc-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{314ee1e6-47a9-11dd-8ecc-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{770c1ec5-15b4-11dd-8eb7-001cbfc4b709}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{770c1eca-15b4-11dd-8eb7-001cbfc4b709}\Shell\auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a916-15b7-11dd-8eb8-001cbfc4b709}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a91e-15b7-11dd-8eb8-001d722480c4}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a920-15b7-11dd-8eb8-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e09f319f-151b-11dd-8eb6-001cbfc4b709}\Shell\Auto\Command
################## | Listing des fichiers présent |
[02/01/2010 11:54|--a------|6940] C:\aaw7boot.log
[24/04/2008 16:33|-rahs----|212] C:\boot.ini
[05/08/2004 04:00|-rahs----|4952] C:\Bootfont.bin
[06/09/2004 14:40|--ahs----|512] C:\BOOTSECT.DOS
[?|?|?] C:\hiberfil.sys
[06/09/2004 15:00|-rahs----|0] C:\IO.SYS
[06/09/2004 15:00|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 04:00|-rahs----|47564] C:\NTDETECT.COM
[26/10/2008 08:34|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[17/01/2008 03:17|--ahs----|5088] C:\Patch.rev
[26/04/2007 07:45|---------|631] C:\PDVD.iss
[10/08/2007 02:04|-rahs----|73] C:\preload.aaa
[10/08/2007 02:04|-rahs----|73] C:\Preload.rev
[22/06/2008 20:29|--a------|982] C:\RECUP.DOC
[09/08/2007 15:43|--a------|595] C:\RHDSetup.log
[09/08/2007 15:44|--a------|32] C:\setup.log
[02/01/2010 12:04|--a------|4973] C:\UsbFix.txt
[09/08/2007 15:23|--a------|4] C:\wps.dat
[02/08/2008 21:44|--ah-----|24580] F:\.DS_Store
[17/11/2007 15:12|--ah-----|4096] F:\._.Trashes
[03/11/2009 21:00|--a------|39358] F:\white_thumb.jpg
[05/07/2009 14:36|--a------|4590217] F:\P1050680.JPG
[30/08/2009 11:07|--a------|1577645] F:\P1050270copie.jpg
[30/08/2009 11:12|--a------|1136651] F:\P1050336copie.jpg
[12/11/2009 16:09|--a------|239616] F:\ThŠseMarionMecarelli.doc
[21/09/2009 14:51|--a------|11441] F:\bilalWord.docx
[30/09/2009 12:10|--a------|72192] F:\Laura 1.doc
[24/01/2009 14:16|--a------|113664] F:\1ø rapport 2009 janvier.doc
[30/09/2009 15:43|--a------|128000] F:\2ø rapport 2009 janvier.doc
[24/09/2009 15:56|--a------|96768] F:\Bertrand 2.doc
[01/10/2009 16:18|--a------|128512] F:\Copie de Copie de plan.doc
[08/10/2009 13:56|--a------|23040] F:\Notes.doc
[04/11/2009 15:48|--a------|31744] F:\Foot Widede.doc
[26/11/2009 09:29|--a------|21504] F:\mail delorme.doc
[02/12/2009 11:40|--a------|32256] F:\fiche widede.doc
[03/11/2009 23:26|--a------|45056] F:\cr‚atures.doc
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\ACTUAL~1\Bureau\UsbFix_Upload_Me_ACER-564DF136B7.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.069 ! |
User : ACTUALITES NEPHROLOG (Administrateurs) # ACER-564DF136B7
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:55:47 | 02/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100102-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,33 Go (24,87 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 71,84 Go (71,82 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 953,73 Mo (859,3 Mo free) [MARION] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 484
C:\WINDOWS\system32\csrss.exe 956
C:\WINDOWS\system32\winlogon.exe 1008
C:\WINDOWS\system32\services.exe 1056
C:\WINDOWS\system32\lsass.exe 1068
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\svchost.exe 1320
C:\WINDOWS\System32\svchost.exe 1468
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1532
C:\WINDOWS\system32\svchost.exe 1620
C:\WINDOWS\system32\svchost.exe 1772
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 240
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 272
C:\Program Files\Alwil Software\Avast4\ashServ.exe 504
C:\WINDOWS\system32\spoolsv.exe 1276
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\drivers\CDAC11BA.EXE 1664
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 1716
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 752
C:\Program Files\Google\Update\GoogleUpdate.exe 1304
C:\Program Files\Google\Update\GoogleUpdate.exe 1608
C:\WINDOWS\Explorer.EXE 1392
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 216
C:\Program Files\Java\jre6\bin\jqs.exe 644
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 688
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1360
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1448
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe 1912
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 1944
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 1124
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 2184
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2284
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2344
C:\WINDOWS\system32\svchost.exe 2372
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2580
C:\WINDOWS\system32\wuauclt.exe 2672
C:\WINDOWS\system32\wbem\wmiprvse.exe 3936
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 4084
C:\WINDOWS\system32\wbem\unsecapp.exe 560
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 616
C:\WINDOWS\system32\wbem\wmiprvse.exe 2028
C:\WINDOWS\System32\alg.exe 2768
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-3675357479-2593398044-840836666-1008
Supprimé ! C:\Recycler\S-1-5-21-3675357479-2593398044-840836666-1010
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{314ee1e4-47a9-11dd-8ecc-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{314ee1e6-47a9-11dd-8ecc-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{770c1ec5-15b4-11dd-8eb7-001cbfc4b709}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{770c1eca-15b4-11dd-8eb7-001cbfc4b709}\Shell\auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a916-15b7-11dd-8eb8-001cbfc4b709}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a91e-15b7-11dd-8eb8-001d722480c4}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8875a920-15b7-11dd-8eb8-001d722480c4}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e09f319f-151b-11dd-8eb6-001cbfc4b709}\Shell\Auto\Command
################## | Listing des fichiers présent |
[02/01/2010 11:54|--a------|6940] C:\aaw7boot.log
[24/04/2008 16:33|-rahs----|212] C:\boot.ini
[05/08/2004 04:00|-rahs----|4952] C:\Bootfont.bin
[06/09/2004 14:40|--ahs----|512] C:\BOOTSECT.DOS
[?|?|?] C:\hiberfil.sys
[06/09/2004 15:00|-rahs----|0] C:\IO.SYS
[06/09/2004 15:00|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 04:00|-rahs----|47564] C:\NTDETECT.COM
[26/10/2008 08:34|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[17/01/2008 03:17|--ahs----|5088] C:\Patch.rev
[26/04/2007 07:45|---------|631] C:\PDVD.iss
[10/08/2007 02:04|-rahs----|73] C:\preload.aaa
[10/08/2007 02:04|-rahs----|73] C:\Preload.rev
[22/06/2008 20:29|--a------|982] C:\RECUP.DOC
[09/08/2007 15:43|--a------|595] C:\RHDSetup.log
[09/08/2007 15:44|--a------|32] C:\setup.log
[02/01/2010 12:04|--a------|4973] C:\UsbFix.txt
[09/08/2007 15:23|--a------|4] C:\wps.dat
[02/08/2008 21:44|--ah-----|24580] F:\.DS_Store
[17/11/2007 15:12|--ah-----|4096] F:\._.Trashes
[03/11/2009 21:00|--a------|39358] F:\white_thumb.jpg
[05/07/2009 14:36|--a------|4590217] F:\P1050680.JPG
[30/08/2009 11:07|--a------|1577645] F:\P1050270copie.jpg
[30/08/2009 11:12|--a------|1136651] F:\P1050336copie.jpg
[12/11/2009 16:09|--a------|239616] F:\ThŠseMarionMecarelli.doc
[21/09/2009 14:51|--a------|11441] F:\bilalWord.docx
[30/09/2009 12:10|--a------|72192] F:\Laura 1.doc
[24/01/2009 14:16|--a------|113664] F:\1ø rapport 2009 janvier.doc
[30/09/2009 15:43|--a------|128000] F:\2ø rapport 2009 janvier.doc
[24/09/2009 15:56|--a------|96768] F:\Bertrand 2.doc
[01/10/2009 16:18|--a------|128512] F:\Copie de Copie de plan.doc
[08/10/2009 13:56|--a------|23040] F:\Notes.doc
[04/11/2009 15:48|--a------|31744] F:\Foot Widede.doc
[26/11/2009 09:29|--a------|21504] F:\mail delorme.doc
[02/12/2009 11:40|--a------|32256] F:\fiche widede.doc
[03/11/2009 23:26|--a------|45056] F:\cr‚atures.doc
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\ACTUAL~1\Bureau\UsbFix_Upload_Me_ACER-564DF136B7.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.069 ! |
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2010 à 14:06
2 janv. 2010 à 14:06
Télécharge SEAF ( de C_XX )
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .
# Tape knqdcemh dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".
# Laisse l'outil scanner.
# Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .
# Tape knqdcemh dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".
# Laisse l'outil scanner.
# Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
1. ========================= SEAF 1.0.0.6 - C_XX | 21:46:53,21
2.
3. Valeur(s) recherchée(s):
4.
5. knqdcemh
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. "C:\WINDOWS\system32\drivers\knqdcemh.sys"
11. MD5: d41d8cd98f00b204e9800998ecf8427e | --a------ | 01/01/2010 20:29
12.
13. =========================
14.
15.
16. ========================= Registre:
17.
18.
19.
20. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\0000]
21. "DeviceDesc"="knqdcemh"
22.
23. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\0000]
24. "Service"="knqdcemh"
25.
26. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh\Enum]
27. "0"="Root\LEGACY_KNQDCEMH\0000"
28.
29. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\0000]
30. "DeviceDesc"="knqdcemh"
31.
32. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\0000]
33. "Service"="knqdcemh"
34.
35. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\0000]
36. "DeviceDesc"="knqdcemh"
37.
38. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\0000]
39. "Service"="knqdcemh"
40.
41. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh\Enum]
42. "0"="Root\LEGACY_KNQDCEMH\0000"
43.
44.
45. ========================= E.O.F | 21:53:17,81
2.
3. Valeur(s) recherchée(s):
4.
5. knqdcemh
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. "C:\WINDOWS\system32\drivers\knqdcemh.sys"
11. MD5: d41d8cd98f00b204e9800998ecf8427e | --a------ | 01/01/2010 20:29
12.
13. =========================
14.
15.
16. ========================= Registre:
17.
18.
19.
20. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\0000]
21. "DeviceDesc"="knqdcemh"
22.
23. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\0000]
24. "Service"="knqdcemh"
25.
26. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh\Enum]
27. "0"="Root\LEGACY_KNQDCEMH\0000"
28.
29. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\0000]
30. "DeviceDesc"="knqdcemh"
31.
32. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\0000]
33. "Service"="knqdcemh"
34.
35. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\0000]
36. "DeviceDesc"="knqdcemh"
37.
38. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\0000]
39. "Service"="knqdcemh"
40.
41. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh\Enum]
42. "0"="Root\LEGACY_KNQDCEMH\0000"
43.
44.
45. ========================= E.O.F | 21:53:17,81
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2010 à 22:45
2 janv. 2010 à 22:45
Bonsoir, mimi
Ce n'est pas la peine de créer un nouveau profil pour chaque réponse.
Tu peux répondre avec ton profil d'origine.
1/ Le rootkit est toujours présent. Le rapport le prouve.
on va nettoyer cela.
Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
# Double-clique sur OTMoveIt.exe pour le lancer.
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
:files
C:\WINDOWS\system32\drivers\knqdcemh.sys
C:\WINDOWS\system32\fjhdyfhsn.bat
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh]
:Commands
[emptytemp]
# Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results".
# Le PC va te demander de redémarrer pour supprimer les fichiers.
# après le redémarrage, un rapport va s'ouvrir.
# Copie/Colle le contenu du rapport dans ton prochain message.
Note : Si tu ne trouves plus le rapport,c'est un fichier .log qui se trouve en C:\_OTMoveIt\MovedFiles.
2/ Relance RSIT sur ton bureau et poste le rapport obtenu.
A+
Ce n'est pas la peine de créer un nouveau profil pour chaque réponse.
Tu peux répondre avec ton profil d'origine.
1/ Le rootkit est toujours présent. Le rapport le prouve.
on va nettoyer cela.
Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
# Double-clique sur OTMoveIt.exe pour le lancer.
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.
:files
C:\WINDOWS\system32\drivers\knqdcemh.sys
C:\WINDOWS\system32\fjhdyfhsn.bat
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh]
:Commands
[emptytemp]
# Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results".
# Le PC va te demander de redémarrer pour supprimer les fichiers.
# après le redémarrage, un rapport va s'ouvrir.
# Copie/Colle le contenu du rapport dans ton prochain message.
Note : Si tu ne trouves plus le rapport,c'est un fichier .log qui se trouve en C:\_OTMoveIt\MovedFiles.
2/ Relance RSIT sur ton bureau et poste le rapport obtenu.
A+
Oui, j'ai confondu le pseudo avec le sujet du mail.
Quand je clique sur http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ , ce message s'affiche: 'OTM cannot be run from a temporary folder! Please download it your Desktop or other suitable location".
Merci.
Quand je clique sur http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ , ce message s'affiche: 'OTM cannot be run from a temporary folder! Please download it your Desktop or other suitable location".
Merci.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 janv. 2010 à 14:04
3 janv. 2010 à 14:04
mimi,
il faut enregistrer le fichier sur ton bureau.
Peux-tu télécharger le fichier ou pas ?
Il est possible qu'il s'enregistre dans le dossier mes téléchargements.
transfère-le ensuite sur le bureau.
A+
il faut enregistrer le fichier sur ton bureau.
Peux-tu télécharger le fichier ou pas ?
Il est possible qu'il s'enregistre dans le dossier mes téléchargements.
transfère-le ensuite sur le bureau.
A+
All processes killed
========== FILES ==========
C:\WINDOWS\system32\drivers\knqdcemh.sys moved successfully.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: ACTUALITES NEPHROLOG
->Temp folder emptied: 136217626 bytes
->Temporary Internet Files folder emptied: 439347252 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
User: Administrateur
->Temp folder emptied: 208896 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: All Users
User: Default User
->Temp folder emptied: 208896 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 36651 bytes
User: Marion
->Temp folder emptied: 1082616 bytes
->Temporary Internet Files folder emptied: 148951 bytes
User: NetworkService
->Temp folder emptied: 917504 bytes
->Temporary Internet Files folder emptied: 665475 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 572035 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 11151724 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 563,00 mb
OTM by OldTimer - Version 3.1.4.0 log created on 01032010_150238
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_204.dat moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_c48.dat moved successfully.
Registry entries deleted on Reboot...
========== FILES ==========
C:\WINDOWS\system32\drivers\knqdcemh.sys moved successfully.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNQDCEMH\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\knqdcemh\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNQDCEMH\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNQDCEMH\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knqdcemh\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: ACTUALITES NEPHROLOG
->Temp folder emptied: 136217626 bytes
->Temporary Internet Files folder emptied: 439347252 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
User: Administrateur
->Temp folder emptied: 208896 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: All Users
User: Default User
->Temp folder emptied: 208896 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 36651 bytes
User: Marion
->Temp folder emptied: 1082616 bytes
->Temporary Internet Files folder emptied: 148951 bytes
User: NetworkService
->Temp folder emptied: 917504 bytes
->Temporary Internet Files folder emptied: 665475 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 572035 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 11151724 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 563,00 mb
OTM by OldTimer - Version 3.1.4.0 log created on 01032010_150238
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_204.dat moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_c48.dat moved successfully.
Registry entries deleted on Reboot...
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 janv. 2010 à 16:10
3 janv. 2010 à 16:10
Ok,
C'est pas mal.
Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir.
# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
C'est pas mal.
Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir.
# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3488
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03/01/2010 23:06:23
mbam-log-2010-01-03 (23-06-23).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 245419
Temps écoulé: 1 hour(s), 7 minute(s), 34 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
Version de la base de données: 3488
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03/01/2010 23:06:23
mbam-log-2010-01-03 (23-06-23).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 245419
Temps écoulé: 1 hour(s), 7 minute(s), 34 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 janv. 2010 à 07:35
4 janv. 2010 à 07:35
Re,
Comment se comporte le PC ?
Relance RSIT ( sur ton bureau ) et poste le rapport obtenu.
A+
Comment se comporte le PC ?
Relance RSIT ( sur ton bureau ) et poste le rapport obtenu.
A+
Je n'ai plus d'alerte. Le PC a l'air d'aller bien. Par contre, ma boite e-mail yahoo! bug souvent (explorer ne répond plus et je dois le forcer à fermer), quand j'ouvre un message. Mais c'est peut-être dû à yahoo.
Logfile of random's system information tool 1.06 (written by random/random)
Run by ACTUALITES NEPHROLOG at 2010-01-04 11:19:18
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 26 GB (35%) free of 73 GB
Total RAM: 1014 MB (25% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:41, on 04/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\igfxext.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOCUME~1\ACTUAL~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Local Settings\Temporary Internet Files\Content.IE5\66276GKT\RSIT[1].exe
C:\Program Files\trend micro\ACTUALITES NEPHROLOG.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [110f51db7f90ac2c18b131af73bb8227] C:\DOCUME~1\ACTUAL~1\Bureau\THEGRE~1.EXE /r
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.photoservice.com/telechargement/ImageUploader4.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c98ecea9f1618) (gupdate1c98ecea9f1618) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by ACTUALITES NEPHROLOG at 2010-01-04 11:19:18
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 26 GB (35%) free of 73 GB
Total RAM: 1014 MB (25% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:41, on 04/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\igfxext.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOCUME~1\ACTUAL~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Local Settings\Temporary Internet Files\Content.IE5\66276GKT\RSIT[1].exe
C:\Program Files\trend micro\ACTUALITES NEPHROLOG.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [110f51db7f90ac2c18b131af73bb8227] C:\DOCUME~1\ACTUAL~1\Bureau\THEGRE~1.EXE /r
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.photoservice.com/telechargement/ImageUploader4.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c98ecea9f1618) (gupdate1c98ecea9f1618) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 janv. 2010 à 13:20
4 janv. 2010 à 13:20
Re,
Le rapport est propre.
Fais une dernière vérification.
Un scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp
A+
Le rapport est propre.
Fais une dernière vérification.
Un scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 janv. 2010 à 22:03
4 janv. 2010 à 22:03
mimi,
As-tu fais le scan en ligne ?
Pour terminer :
1/ Il faut mettre à jour régulièrement son système pour éviter d'avoir des failles de sécurité sur son PC.
fais les deux manips suivantes.
--> Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/
* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )
Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.
Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp
- Suppression des anciennes versions :
* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées
Un rapport sera crée. Poste-le.
--> Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/
2/ Tu peux aussi aller sue le site de secunia pour vérifier la version logicielle des plug-ins ou autres logiciels.
https://www.flexera.com/products/operations/software-vulnerability-management.html
3/ Ensuite, tu peux enlever les outils qu'on a utilisé.
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.
4/ Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
5/ Il est préférable maintenant que ton PC est propre de créer un point propre pour une utilisation ultérieure.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
As-tu fais le scan en ligne ?
Pour terminer :
1/ Il faut mettre à jour régulièrement son système pour éviter d'avoir des failles de sécurité sur son PC.
fais les deux manips suivantes.
--> Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/
* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )
Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.
Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp
- Suppression des anciennes versions :
* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées
Un rapport sera crée. Poste-le.
--> Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/
2/ Tu peux aussi aller sue le site de secunia pour vérifier la version logicielle des plug-ins ou autres logiciels.
https://www.flexera.com/products/operations/software-vulnerability-management.html
3/ Ensuite, tu peux enlever les outils qu'on a utilisé.
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.
4/ Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
5/ Il est préférable maintenant que ton PC est propre de créer un point propre pour une utilisation ultérieure.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
Rapport online scanner (3 trucs infectés):
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-05 07:55:42
# local_time=2010-01-05 08:55:42 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 123399 123399 0 0
# compatibility_mode=769 16775125 100 98 5009 199001314 0 0
# compatibility_mode=8192 67108863 100 0 3857 3857 0 0
# scanned=21908
# found=0
# cleaned=0
# scan_time=1245
esets_scanner_update returned -1 esets_gle=53251
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-05 10:41:41
# local_time=2010-01-05 11:41:41 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 133245 133245 0 0
# compatibility_mode=769 16775125 100 98 6264 199011160 7981 0
# compatibility_mode=8192 67108863 100 0 13703 13703 0 0
# scanned=76570
# found=0
# cleaned=0
# scan_time=1322
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-06 07:25:53
# local_time=2010-01-06 08:25:53 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 205440 205440 0 0
# compatibility_mode=769 16775125 100 98 3968 199083355 0 0
# compatibility_mode=8192 67108863 100 0 85898 85898 0 0
# scanned=114923
# found=3
# cleaned=0
# scan_time=3797
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP514\A0059455.bat BAT/KillFiles.NCB trojan DBA9AA96401FE16314263BFFED2B0EAA I
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP535\A0061615.exe Win32/Adware.Trymedia application 88E8CBC2B4BCF3236608BE8667AD6D67 I
C:\_OTM\MovedFiles\01032010_150238\C_WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan DBA9AA96401FE16314263BFFED2B0EAA I
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-05 07:55:42
# local_time=2010-01-05 08:55:42 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 123399 123399 0 0
# compatibility_mode=769 16775125 100 98 5009 199001314 0 0
# compatibility_mode=8192 67108863 100 0 3857 3857 0 0
# scanned=21908
# found=0
# cleaned=0
# scan_time=1245
esets_scanner_update returned -1 esets_gle=53251
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-05 10:41:41
# local_time=2010-01-05 11:41:41 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 133245 133245 0 0
# compatibility_mode=769 16775125 100 98 6264 199011160 7981 0
# compatibility_mode=8192 67108863 100 0 13703 13703 0 0
# scanned=76570
# found=0
# cleaned=0
# scan_time=1322
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f1c670182e18d24da04088bb3505efb9
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=false
# utc_time=2010-01-06 07:25:53
# local_time=2010-01-06 08:25:53 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 205440 205440 0 0
# compatibility_mode=769 16775125 100 98 3968 199083355 0 0
# compatibility_mode=8192 67108863 100 0 85898 85898 0 0
# scanned=114923
# found=3
# cleaned=0
# scan_time=3797
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP514\A0059455.bat BAT/KillFiles.NCB trojan DBA9AA96401FE16314263BFFED2B0EAA I
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP535\A0061615.exe Win32/Adware.Trymedia application 88E8CBC2B4BCF3236608BE8667AD6D67 I
C:\_OTM\MovedFiles\01032010_150238\C_WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan DBA9AA96401FE16314263BFFED2B0EAA I
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
6 janv. 2010 à 23:19
6 janv. 2010 à 23:19
mimi,
Le scan d'ESET ne montre pas grand chose de grave.
Un fichier dans la quarantaine d'OTM et deux fichiers dans la restauration système.
Ce dernier point veut dire que la restauration système a été infectée et est donc inutilisable.
par précaution, pour la partie 5 du post précédent, fais ceci :
Il faut nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
Le scan d'ESET ne montre pas grand chose de grave.
Un fichier dans la quarantaine d'OTM et deux fichiers dans la restauration système.
Ce dernier point veut dire que la restauration système a été infectée et est donc inutilisable.
par précaution, pour la partie 5 du post précédent, fais ceci :
Il faut nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
7 janv. 2010 à 22:12
7 janv. 2010 à 22:12
C'est OK.
On a terminé.
Bonne continuation et bon surf.
Salut.
On a terminé.
Bonne continuation et bon surf.
Salut.
30 déc. 2009 à 19:41
Run by ACTUALITES NEPHROLOG at 2009-12-30 19:38:04
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 29 GB (40%) free of 73 GB
Total RAM: 1014 MB (12% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:21, on 30/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\DOCUME~1\ACTUAL~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ACTUALITES NEPHROLOG\Local Settings\Temporary Internet Files\Content.IE5\22AC6HPU\RSIT[1].exe
C:\Program Files\trend micro\ACTUALITES NEPHROLOG.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [110f51db7f90ac2c18b131af73bb8227] C:\DOCUME~1\ACTUAL~1\Bureau\THEGRE~1.EXE /r
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\ACTUALITES NEPHROLOG\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.photoservice.com/telechargement/ImageUploader4.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c98ecea9f1618) (gupdate1c98ecea9f1618) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
30 déc. 2009 à 19:46
2 janv. 2010 à 13:16