Dernier essai pour supprimé un vers

rodeo -  
 rodeo -
Bonsoir,

Cela fait un moment que j'essaye de supprimer un virus qui s'est transformé (avec le temps et selon Avast) en Trojan, Virus, Malware...

J'ai déjà fait appel a ce forum pour m'en débarrasser, mais sans succès.

Je refais appel à vous car cela m'arrangerait de ne pas devoir formater mon portable.

Voici ce qui se passe quand j'allume mon ordi:

- En premier s'affiche un message d'erreur de Microsoft Windows qui dit ceci:
HP Health Check Scheduler a cessé de fonctionner
Un problème a fait que le programme a cessé de fonctionner correctement. Windows va fermer ce programme et vous indiquer si une solution est disponible.

Je n'ai que le choix de fermer le programme.

- En second apparaît un autre message d'erreur de Microsoft Windows disant ceci:
HP MediaSmart SmartMenu a cessé de fonctionner.
Un problème a fait que le programme a cassé de fonctionner correctement. Windows va fermer ce programme et vous indiquer si une solution est disponible.

Là aussi je n'ai que le choix de fermer le programme.

- En troisième, Avast identifie un Virus/Ver:

Nom du fichier: C:\Windows\Temp\bicy.tmp\svchost.exe
Nom du logiciel malveillant: Win32:Malware-gen
Type de logiciel malveillant: Virus/Ver
Version VPS: 100102-1, 02.01.2010

J'ai le choix entre Déplacer/Renommer, Supprimer, Réparer, Mettre en quarantaine (il me conseil ce choix) ou Ne rien faire.

Lorsque je clique sur Réparer il me dit que cela est impossible et le choix s'enlève.

Lorsque je clique sur Supprimer ou Mettre en quarantaine, quelques minutes plus tard Avast identifie de nouveau le Virus/Ver mais cette fois-ci dans un autre fichier (il me semble qu'il change à chaque fois de fichier que le virus crée lui même).

Essais de ma part:

J'ai déjà essayé, dans "recherche", d'ouvrir le fichier et de supprimer le virus (un programme .exe) mais à chaque fois un message me dit que je ne peux pas car le programme est utilisé par une autre application.

J'ai aussi supprimé le fichier dans lequel il se trouve une fois qu'Avast "Supprime" le programme en ".exe", mais ledit virus à toujours recréer un dossier.

D'avance je vous remercie de votre aide et vous souhaite un bonne année!
Configuration: Windows Vista
Firefox 3.0.16

24 réponses

  • 1
  • 2
Résumé de la discussion

Des messages d'erreur système au démarrage, des détections répétées par Avast et la présence de fichiers malveillants récurrents illustrent une infection virale persistante sur Windows Vista. Plusieurs recommandations portent sur Malwarebytes Anti-Malware pour désinfecter le système et mettre en quarantaine les objets trouvés, puis sur des outils de diagnostic complémentaires afin d'identifier et supprimer les entrées malveillantes détectées. D'autres interventions visent à corriger les programmes qui se lancent automatiquement au démarrage, comme des processus dans C:\Windows\Temp ou des entrées Run, afin d'éviter les redémarrages qui réactivent le malware. En dernier lieu, un redémarrage et un contrôle des mises à jour Windows et des applications associées peuvent être utiles pour prévenir de nouvelles infections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    vu M@thew,

    bonjour

    Cherches et cliques sur C:\Program Files\trend micro\Romain.exe
    Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

    O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'Default user')


    ensuite

    Téléchargez MalwareByte's Anti-Malware

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    1
    1. M@thew
       
      Alors rodéo, what's new's ?
      0
    2. rodeo
       
      AVG me dit que le document .exe n'est pas dangereux.

      Le scan malware est en cours, je vous redonne des nouvelles une fois terminé...
      0
  2. zack83 Messages postés 165 Statut Membre 18
     
    Ccleaner est un bon truc mais essaie de le supprimer
    0
    1. rodeo
       
      CCCleaner ne trouve rien...

      Avast vient de me remettre un message d'alerte:

      Nom du fichier: C:\Windows\Temp\hbqy.tmp\svchost.exe
      Nom du logiciel malveillant: Win32:Malware-gen
      Type de logiciel malveillant: Virus/Ver
      Version VPS: 100102-1, 02.01.2010
      0
  3. zack83 Messages postés 165 Statut Membre 18
     
    Deja telecharge avg free edition pour etre sur que c'est un trojan
    Si c'est un trojan telecharge anti trojan et vire le
    0
    1. M@thew
       
      Bonsoir, as-tu déjà passé Malwarebytes-Anti-Malware ?
      0
      1. rodeo > M@thew
         
        Oui, il détecte aussi un virus mais je ne peux pas le supprimer, je scan avec AVG et je vous redonne des nouvelles d'ici quelques minutes.
        0
      2. M@thew > rodeo
         
        • Télécharge Random's System Information Tool (RSIT) de Random/Random.

        http://images.malwareremoval.com/random/RSIT.exe

        • Enregistre le sur ton Bureau.

        • Double clique sur RSIT.exe pour lancer l'outil.

        • Clique sur "Continue" à l'écran Disclaimer.

        • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

        et tu devras accepter la licence.

        • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

        Les rapports se trouvent à cet endroit:
        C:\rsit\info.txt
        C:\rsit\log.txt




        Je repasserais demain...
        0
      3. rodeo > M@thew
         
        L'analyse me paraît très courte... mais bon:

        info.txt :
        info.txt logfile of random's system information tool 1.06 2009-12-14 22:05:14

        ======Uninstall list======

        -->"C:\Program Files\HP Games\Agatha Christie - Death on the Nile\Uninstall.exe"
        -->"C:\Program Files\HP Games\Bejeweled 2 Deluxe\Uninstall.exe"
        -->"C:\Program Files\HP Games\Blasterball 3\Uninstall.exe"
        -->"C:\Program Files\HP Games\Build-a-lot 2\Uninstall.exe"
        -->"C:\Program Files\HP Games\Chuzzle Deluxe\Uninstall.exe"
        -->"C:\Program Files\HP Games\Crystal Maze\Uninstall.exe"
        -->"C:\Program Files\HP Games\Diner Dash 2 Restaurant Rescue\Uninstall.exe"
        -->"C:\Program Files\HP Games\Diner Dash\Uninstall.exe"
        -->"C:\Program Files\HP Games\Escape the Museum\Uninstall.exe"
        -->"C:\Program Files\HP Games\FATE\Uninstall.exe"
        -->"C:\Program Files\HP Games\Gem Shop\Uninstall.exe"
        -->"C:\Program Files\HP Games\Granny in Paradise\Uninstall.exe"
        -->"C:\Program Files\HP Games\Insaniquarium Deluxe\Uninstall.exe"
        -->"C:\Program Files\HP Games\Magic Academy\Uninstall.exe"
        -->"C:\Program Files\HP Games\Mah Jong Quest\Uninstall.exe"
        -->"C:\Program Files\HP Games\Mahjongg Artifacts\Uninstall.exe"
        -->"C:\Program Files\HP Games\My HP Game Console\Uninstall.exe"
        -->"C:\Program Files\HP Games\Peggle\Uninstall.exe"
        -->"C:\Program Files\HP Games\Penguins!\Uninstall.exe"
        -->"C:\Program Files\HP Games\Polar Bowler\Uninstall.exe"
        -->"C:\Program Files\HP Games\Polar Golfer Pineapple Cup\Uninstall.exe"
        -->"C:\Program Files\HP Games\Polar Golfer\Uninstall.exe"
        -->"C:\Program Files\HP Games\Polar Pool\Uninstall.exe"
        -->"C:\Program Files\HP Games\Slingo Deluxe\Uninstall.exe"
        -->"C:\Program Files\HP Games\Snowy - Treasure Hunter 2\Uninstall.exe"
        -->"C:\Program Files\HP Games\Tradewinds Legends\Uninstall.exe"
        -->"C:\Program Files\HP Games\Tradewinds\Uninstall.exe"
        -->"C:\Program Files\HP Games\Virtual Villagers - A New Home\Uninstall.exe"
        -->"C:\Program Files\HP Games\Virtual Villagers - The Secret City\Uninstall.exe"
        -->"C:\Program Files\HP Games\Zuma Deluxe\Uninstall.exe"
        -->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
        32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
        Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
        Adobe Download Manager-->"C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
        Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
        Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
        Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
        Adobe Shockwave Player-->MsiExec.exe /X{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}
        AOL Toolbar 5.0-->"C:\Program Files\AOL\AOL Toolbar 5.0\uninstall.exe"
        Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
        Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
        Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
        Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
        Audioro iPod Converter 1.01-->C:\Program Files\Red Kawa\Audio Converter App\uninstaller.exe
        avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
        AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
        Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
        Broadcom 802.11 Wireless LAN Adapter-->"C:\Program Files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Broadcom\Broadcom 802.11\Driver"
        Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
        CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
        Cheat Engine 5.5-->"C:\Program Files\Cheat Engine\unins000.exe"
        CyberLink DVD Suite-->"C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe" /z-uninstall
        CyberLink DVD Suite-->"C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe" /z-uninstall
        DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
        DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
        ESU for Microsoft Vista-->MsiExec.exe /I{3877C901-7B90-4727-A639-B6ED2DD59D43}
        Free M4a to MP3 Converter 6.1-->"C:\Program Files\Free M4a to MP3 Converter\unins000.exe"
        Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
        Google Earth-->MsiExec.exe /X{9074AFC0-CFDA-11DE-B484-005056806466}
        HandBrake 0.9.3-->C:\Program Files\HandBrake\uninst.exe
        Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
        Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
        HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
        Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
        Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
        HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
        HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{57A5AEC1-97FC-474D-92C4-908FCC2253D4}\setup.exe" -l0x9 -removeonly
        HP Doc Viewer-->MsiExec.exe /I{082702D5-5DD8-4600-BCE5-48B15174687F}
        HP Help and Support-->MsiExec.exe /I{0054A0F6-00C9-4498-B821-B5C9578F433E}
        HP MediaSmart DVD-->"C:\Program Files\InstallShield Installation Information\{DCCAD079-F92C-44DA-B258-624FC6517A5A}\setup.exe" /z-uninstall
        HP MediaSmart DVD-->"C:\Program Files\InstallShield Installation Information\{DCCAD079-F92C-44DA-B258-624FC6517A5A}\setup.exe" /z-uninstall
        HP MediaSmart Music/Photo/Video-->"C:\Program Files\InstallShield Installation Information\{B2EE25B9-5B00-4ACF-94F0-92433C28C39E}\setup.exe" /z-uninstall
        HP MediaSmart Music/Photo/Video-->"C:\Program Files\InstallShield Installation Information\{B2EE25B9-5B00-4ACF-94F0-92433C28C39E}\setup.exe" /z-uninstall /zMS
        HP MediaSmart SmartMenu-->MsiExec.exe /I{EFC5939F-470F-454E-B3DA-F51FDD83F6CE}
        HP MediaSmart TV-->"C:\Program Files\InstallShield Installation Information\{67626E09-5366-4480-8F1E-93FADF50CA15}\Setup.exe" /z-uninstall
        HP MediaSmart TV-->"C:\Program Files\InstallShield Installation Information\{67626E09-5366-4480-8F1E-93FADF50CA15}\Setup.exe" /z-uninstall
        HP MediaSmart Webcam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
        HP MediaSmart Webcam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
        HP Quick Launch Buttons 6.40 H2-->C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\setup.exe -runfromtemp -l0x0007 uninst
        HP Total Care Setup-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{38058455-8C21-4C2F-B2F6-14ED166039CB}\setup.exe" -l0x9 -removeonly
        HP Update-->MsiExec.exe /X{818ABC3C-635C-4651-8183-D0E9640B7DD1}
        HP User Guides 0126-->MsiExec.exe /X{63C2981B-6E59-4514-8FC8-3C7A6368D0AE}
        HP Wireless Assistant-->MsiExec.exe /I{9ADABDDE-9644-461B-9E73-83FA3EFCAB50}
        HPNetworkAssistant-->MsiExec.exe /I{228C6B46-64E2-404E-898A-EF0830603EF4}
        HyperCam 2-->"C:\Program Files\HyCam2\UnHyCam2.exe"
        IDT Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}\setup.exe" -l0x7 -remove -removeonly
        ImTOO MPEG Encoder Standard-->C:\Program Files\ImTOO\MPEG Encoder Standard\Uninstall.exe
        Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
        Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
        iTunes-->MsiExec.exe /I{F5C63795-2708-4D15-BF18-5ABBFF7DFFC8}
        Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
        JMicron JMB38X Flash Media Controller-->"C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" delpkg
        Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
        LabelPrint-->"C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
        LabelPrint-->"C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
        LightScribe System Software 1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
        McAfee Security Scan-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
        Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
        Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
        Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
        Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
        Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
        Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
        Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
        Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
        Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
        Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
        Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
        Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
        Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
        Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
        Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
        Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
        Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
        Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
        Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
        Microsoft Reader-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B6F7DBE7-2FE2-458F-A738-B10832746036}\Setup.exe" -L0x40c
        Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
        Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
        Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
        Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}
        Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
        Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
        Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
        Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
        Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
        Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
        Mozilla Firefox (3.0.15)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
        MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
        MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
        MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
        My HP Games-->"C:\Program Files\HP Games\Uninstall.exe"
        Norton Internet Security-->MsiExec.exe /I{7B15D70E-9449-4CFB-B9BC-798465B2BD5C}
        NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
        Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
        Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
        Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
        Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
        PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\Setup.exe" /z-uninstall
        PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\Setup.exe" /z-uninstall
        ProtectSmart Hard Drive Protection-->MsiExec.exe /X{CB71A20E-B1B4-4562-81FA-33E1DBD0342F}
        QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
        RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
        Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly
        Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
        Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
        Security Update for 2007 Microsoft Office System (KB960003)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF}
        Security Update for Microsoft Office Excel 2007 (KB959997)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740}
        Security Update for Microsoft Office OneNote 2007 (KB950130)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F1B2401C-B610-4BF2-AA1C-52C55827A8F4}
        Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
        Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
        Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
        Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
        SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
        Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
        Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
        Universal Document Converter (Demo)-->"C:\Program Files\Universal Document Converter\unins000.exe"
        Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
        Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
        VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
        VideoLAN VLC media player 0.8.6f-->C:\Program Files\VideoLAN\VLC\uninstall.exe
        Videora iPod Converter 4.07-->C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe
        Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
        Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
        Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
        Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
        Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
        Windows-Treiberpaket - ENE (enecir) HIDClass (09/04/2008 2.6.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\enecir.inf_1a3c82dd\enecir.inf
        YouTube Downloader App 1.02-->C:\Program Files\Regensoft\Downloader App\uninstaller.exe
        Zattoo 3.3.4 Beta-->C:\Program Files\Zattoo\uninst.exe

        ======Security center information======

        AS: Spybot - Search and Destroy
        AS: Windows Defender

        ======System event log======

        Computer Name: PC-de-Romain
        Event Code: 3004
        Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
        Pour plus d’informations, consultez les données suivantes :
        https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanDownloader%3aWin32%2fRenos.JI&threatid=143391
        ID d’analyse : {B03CE675-E0C1-44E1-B421-475D5499E417}
        Utilisateur : AUTORITE NT\SYSTEM
        Nom : TrojanDownloader:Win32/Renos.JI
        ID : 143391
        ID de gravité : 4
        ID de catégorie : 4
        Chemin d’accès trouvé : process:pid:9344;file:C:\Windows\TEMP\c.exe->(UPX);containerfile:C:\Windows\TEMP\c.exe
        Type d’alerte : Logiciel espion ou autre logiciel non désiré
        Type de détection : Concret
        Record Number: 157528
        Source Name: Microsoft-Windows-Windows Defender
        Time Written: 20091214162428.000000-000
        Event Type: Avertissement
        User:

        Computer Name: PC-de-Romain
        Event Code: 10002
        Message: Le module d’extensibilité WLAN s’est arrêté.

        Chemin d’accès du module : C:\Windows\System32\bcmihvsrv.dll

        Record Number: 157554
        Source Name: Microsoft-Windows-WLAN-AutoConfig
        Time Written: 20091214183126.645055-000
        Event Type: Avertissement
        User: AUTORITE NT\SYSTEM

        Computer Name: PC-de-Romain
        Event Code: 4101
        Message: Le pilote d’affichage nvlddmkm ne répondait plus et a été récupéré correctement.
        Record Number: 157569
        Source Name: Display
        Time Written: 20091214195845.000000-000
        Event Type: Avertissement
        User:

        Computer Name: PC-de-Romain
        Event Code: 3004
        Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
        Pour plus d’informations, consultez les données suivantes :
        Non applicable
        ID d’analyse : {411F2FF9-F6F7-42F3-9D33-C9135FA38126}
        Utilisateur : PC-de-Romain\Romain
        Nom : Unknown
        ID :
        ID de gravité :
        ID de catégorie :
        Chemin d’accès trouvé : service:SBSDWSCService
        Type d’alerte : Logiciel non classifié
        Type de détection :
        Record Number: 157571
        Source Name: Microsoft-Windows-Windows Defender
        Time Written: 20091214201043.000000-000
        Event Type: Avertissement
        User:

        Computer Name: PC-de-Romain
        Event Code: 3004
        Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
        Pour plus d’informations, consultez les données suivantes :
        Non applicable
        ID d’analyse : {F5A2A1CC-8674-4C3C-851F-D6ED75D8D97B}
        Utilisateur : PC-de-Romain\Romain
        Nom : Unknown
        ID :
        ID de gravité :
        ID de catégorie :
        Chemin d’accès trouvé : driver:SBSDWSCService
        Type d’alerte : Logiciel non classifié
        Type de détection :
        Record Number: 157572
        Source Name: Microsoft-Windows-Windows Defender
        Time Written: 20091214201043.000000-000
        Event Type: Avertissement
        User:

        =====Application event log=====

        Computer Name: PC-de-Romain
        Event Code: 8193
        Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\System32\svchost.exe -k secsvcs ; Description = Windows Defender Checkpoint ; Hr = 0x800423f4).
        Record Number: 26898
        Source Name: System Restore
        Time Written: 20091214162941.000000-000
        Event Type: Erreur
        User:

        Computer Name: PC-de-Romain
        Event Code: 1002
        Message: Le programme wmplayer.exe version 11.0.6001.7008 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 2bb4 Heure de début : 01ca7cf1d0e9dd9b Heure de fin : 15
        Record Number: 26901
        Source Name: Application Hang
        Time Written: 20091214193257.000000-000
        Event Type: Erreur
        User:

        Computer Name: PC-de-Romain
        Event Code: 508
        Message: wlcomm (9528) C:\Users\Romain\AppData\Local\Microsoft\Windows Live Contacts\{599de96d-31c8-4fd7-8018-c90baad9cb1a}\: Une requête pour lire à partir du fichier "C:\Users\Romain\AppData\Local\Microsoft\Windows Live Contacts\{599de96d-31c8-4fd7-8018-c90baad9cb1a}\DBStore\edb.chk" à l'offset 0 (0x0000000000000000) pour 4096 (0x00001000) octets a réussi mais a pris un temps anormalement long (88 secondes) pour être traité par le système d'exploitation. Ce problème peut être causé par du matériel défaillant. Contactez le fabricant de votre matériel afin d'obtenir plus d'aide pour diagnostiquer le problème.
        Record Number: 26902
        Source Name: ESENT
        Time Written: 20091214193529.000000-000
        Event Type: Avertissement
        User:

        Computer Name: PC-de-Romain
        Event Code: 1002
        Message: Le programme wmplayer.exe version 11.0.6001.7008 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 2ee0 Heure de début : 01ca7cf446ebc1ab Heure de fin : 18
        Record Number: 26904
        Source Name: Application Hang
        Time Written: 20091214193855.000000-000
        Event Type: Erreur
        User:

        Computer Name: PC-de-Romain
        Event Code: 1002
        Message: Le programme bittorrent.exe version 6.1.2.13422 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 2074 Heure de début : 01ca7cdbee3124ab Heure de fin : 838
        Record Number: 26905
        Source Name: Application Hang
        Time Written: 20091214201620.000000-000
        Event Type: Erreur
        User:

        =====Security event log=====

        Computer Name: PC-de-Romain
        Event Code: 4624
        Message: L’ouverture de session d’un compte s’est correctement déroulée.

        Sujet :
        ID de sécurité : S-1-5-18
        Nom du compte : PC-DE-ROMAIN$
        Domaine du compte : WORKGROUP
        ID d’ouverture de session : 0x3e7

        Type d’ouverture de session : 5

        Nouvelle ouverture de session :
        ID de sécurité : S-1-5-18
        Nom du compte : SYSTEM
        Domaine du compte : AUTORITE NT
        ID d’ouverture de session : 0x3e7
        GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

        Informations sur le processus :
        ID du processus : 0x29c
        Nom du processus : C:\Windows\System32\services.exe

        Informations sur le réseau :
        Nom de la station de travail :
        Adresse du réseau source : -
        Port source : -

        Informations détaillées sur l’authentification :
        Processus d’ouverture de session : Advapi
        Package d’authentification : Negotiate
        Services en transit : -
        Nom du package (NTLM uniquement) : -
        Longueur de la clé : 0

        Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

        Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

        Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

        Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

        Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

        Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
        - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
        - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
        - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
        - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
        Record Number: 21378
        Source Name: Microsoft-Windows-Security-Auditing
        Time Written: 20090807184838.444000-000
        Event Type: Succès de l'audit
        User:

        Computer Name: PC-de-Romain
        Event Code: 4672
        Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

        Sujet :
        ID de sécurité : S-1-5-18
        Nom du compte : SYSTEM
        Domaine du compte : AUTORITE NT
        ID d’ouverture de session : 0x3e7

        Privilèges : SeAssignPrimaryTokenPrivilege
        SeTcbPrivilege
        SeSecurityPrivilege
        SeTakeOwnershipPrivilege
        SeLoadDriverPrivilege
        SeBackupPrivilege
        SeRestorePrivilege
        SeDebugPrivilege
        SeAuditPrivilege
        SeSystemEnvironmentPrivilege
        SeImpersonatePrivilege
        Record Number: 21379
        Source Name: Microsoft-Windows-Security-Auditing
        Time Written: 20090807184838.444000-000
        Event Type: Succès de l'audit
        User:

        Computer Name: PC-de-Romain
        Event Code: 4648
        Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

        Sujet :
        ID de sécurité : S-1-5-18
        Nom du compte : PC-DE-ROMAIN$
        Domaine du compte : WORKGROUP
        ID d’ouverture de session : 0x3e7
        GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

        Compte dont les informations d’identification ont été utilisées :
        Nom du compte : SYSTEM
        Domaine du compte : AUTORITE NT
        GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

        Serveur cible :
        Nom du serveur cible : localhost
        Informations supplémentaires : localhost

        Informations sur le processus :
        ID du processus : 0x29c
        Nom du processus : C:\Windows\System32\services.exe

        Informations sur le réseau :
        Adresse du réseau : -
        Port : -

        Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
        Record Number: 21380
        Source Name: Microsoft-Windows-Security-Auditing
        Time Written: 20090807184839.070000-000
        Event Type: Succès de l'audit
        User:

        Computer Name: PC-de-Romain
        Event Code: 4624
        Message: L’ouverture de session d’un compte s’est correctement déroulée.

        Sujet :
        ID de sécurité : S-1-5-18
        Nom du compte : PC-DE-ROMAIN$
        Domaine du compte : WORKGROUP
        ID d’ouverture de session : 0x3e7

        Type d’ouverture de session : 5

        Nouvelle ouverture de session :
        ID de sécurité : S-1-5-18
        Nom du compte : SYSTEM
        Domaine du compte : AUTORITE NT
        ID d’ouverture de session : 0x3e7
        GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

        Informations sur le processus :
        ID du processus : 0x29c
        Nom du processus : C:\Windows\System32\services.exe

        Informations sur le réseau :
        Nom de la station de travail :
        Adresse du réseau source : -
        Port source : -

        Informations détaillées sur l’authentification :
        Processus d’ouverture de session : Advapi
        Package d’authentification : Negotiate
        Services en transit : -
        Nom du package (NTLM uniquement) : -
        Longueur de la clé : 0

        Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

        Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

        Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

        Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

        Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

        Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
        - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
        - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
        - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
        - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
        Record Number: 21381
        Source Name: Microsoft-Windows-Security-Auditing
        Time Written: 20090807184839.070000-000
        Event Type: Succès de l'audit
        User:

        Computer Name: PC-de-Romain
        Event Code: 4672
        Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

        Sujet :
        ID de sécurité : S-1-5-18
        Nom du compte : SYSTEM
        Domaine du compte : AUTORITE NT
        ID d’ouverture de session : 0x3e7

        Privilèges : SeAssignPrimaryTokenPrivilege
        SeTcbPrivilege
        SeSecurityPrivilege
        SeTakeOwnershipPrivilege
        SeLoadDriverPrivilege
        SeBackupPrivilege
        SeRestorePrivilege
        SeDebugPrivilege
        SeAuditPrivilege
        SeSystemEnvironmentPrivilege
        SeImpersonatePrivilege
        Record Number: 21382
        Source Name: Microsoft-Windows-Security-Auditing
        Time Written: 20090807184839.070000-000
        Event Type: Succès de l'audit
        User:

        ======Environment variables======

        "ComSpec"=%SystemRoot%\system32\cmd.exe
        "FP_NO_HOST_CHECK"=NO
        "OS"=Windows_NT
        "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\CyberLink\Power2Go;C:\Program Files\QuickTime\QTSystem\
        "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
        "PROCESSOR_ARCHITECTURE"=x86
        "TEMP"=%SystemRoot%\TEMP
        "TMP"=%SystemRoot%\TEMP
        "USERNAME"=SYSTEM
        "windir"=%SystemRoot%
        "PROCESSOR_LEVEL"=6
        "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
        "PROCESSOR_REVISION"=170a
        "NUMBER_OF_PROCESSORS"=2
        "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
        "DFSTRACINGON"=FALSE
        "OnlineServices"=Online Services
        "Platform"=MCD
        "PCBRAND"=Pavilion
        "CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
        "QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip

        -----------------EOF-----------------

        log.txt :
        Logfile of random's system information tool 1.06 (written by random/random)
        Run by Romain at 2010-01-03 01:19:25
        Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
        System drive C: has 82 GB (28%) free of 293 GB
        Total RAM: 3068 MB (56% free)

        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 01:19:31, on 03.01.2010
        Platform: Windows Vista SP1 (WinNT 6.00.1905)
        MSIE: Internet Explorer v8.00 (8.00.6001.18865)
        Boot mode: Normal

        Running processes:
        C:\Windows\system32\taskeng.exe
        C:\Windows\system32\Dwm.exe
        C:\Windows\Explorer.EXE
        C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
        C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
        C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
        C:\Program Files\Windows Defender\MSASCui.exe
        C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
        C:\Program Files\Java\jre6\bin\jusched.exe
        C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
        C:\Program Files\iTunes\iTunesHelper.exe
        C:\Program Files\Common Files\Real\Update_OB\realsched.exe
        C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
        C:\Program Files\HP\HP Software Update\hpwuschd2.exe
        C:\Program Files\IDT\WDM\sttray.exe
        C:\Program Files\Windows Live\Messenger\msnmsgr.exe
        C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
        C:\Users\Romain\Program Files\DNA\btdna.exe
        C:\Windows\ehome\ehtray.exe
        C:\Program Files\Windows Media Player\wmpnscfg.exe
        C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
        C:\Windows\system32\wuauclt.exe
        C:\Windows\ehome\ehmsas.exe
        C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
        C:\Program Files\Windows Live\Contacts\wlcomm.exe
        C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
        C:\Program Files\AVG\AVG9\avgtray.exe
        C:\Program Files\AVG\AVG9\avgscanx.exe
        C:\Windows\system32\SearchFilterHost.exe
        C:\Windows\system32\SearchFilterHost.exe
        C:\Users\Romain\Desktop\RSIT.exe
        C:\Program Files\trend micro\Romain.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/de-ch?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/de-ch?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/de-ch?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/de-ch?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
        O1 - Hosts: ::1 localhost
        O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
        O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
        O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
        O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
        O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
        O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
        O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
        O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
        O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
        O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
        O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
        O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
        O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
        O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
        O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
        O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
        O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
        O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
        O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
        O4 - HKLM\..\Run: [UpdatePDIRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"
        O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
        O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
        O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
        O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
        O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
        O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
        O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
        O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
        O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
        O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
        O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Romain\Program Files\DNA\btdna.exe"
        O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
        O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
        O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'Default user')
        O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbar\resources\fr-CH\local\search.html
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
        O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
        O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
        O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
        O13 - Gopher Prefix:
        O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
        O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
        O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
        O20 - AppInit_DLLs: avgrsstx.dll
        O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe
        O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
        O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
        O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
        O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
        O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
        O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
        O23 - Service: Service Google Update (gupdate1ca19446bdc110) (gupdate1ca19446bdc110) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
        O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
        O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
        O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
        O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
        O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
        O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
        O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
        O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
        O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
        O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
        O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe
        O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
        O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe
        0
  4. zack83 Messages postés 165 Statut Membre 18
     
    Que donne le scan Avg
    Il a deja telecharger malware
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rodeo
     
    Hello, désolé pour cette attente.

    Je vais faire ce que me dit moment de grâce tout de suite.

    Le scan AVG détecte un Cheval de Troie, voici un type du rapport d'erreur:

    Nom du fichier: C:\Windows\Temp\usre.tmp\svchost.exe
    Nom de la menace: Cheval de Troie : Generic15.AZYM détecté à l'ouverture.

    Lorsque je laisse ce message sans prendre de décision, quelques minutes plus tard une autre fenêtre s'ouvre pour me dire qu'il y a deux fichiers douteux repérés puis 3 puis 4, etc.
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    0
    1. rodeo
       
      l'analyse est en cours pour malware...

      je ne comprends pas ce que je dois faire avec ça:


      O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe (User 'Default user')

      et dois-je analyser cela : C:\Program Files\trend micro\Romain.exe avec AVG ou malware?
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je pense que nous n'avons pas les informations nécessaires pour traiter le cas.

    Fais ceci :

    fais redémarrer l'ordi.

    Télécharge la dernière version de ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

    pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur le Tournevis.

    Coche toutes les cases qui ne sont pas cochées.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur Cijoint

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
    1. rodeo
       
      voilà:

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijoPjLwUZ.txt

      j'espère que ça marche car lorsque j'utilise ZHP, le programme charge et lorsque l'analyse arrive vers la fin le programme ne réponds plus... Je me suis dis que l'analyse devait être terminé alors j'ai fermé...

      En tout cas merci beaucoup de vous intéresser à mon cas, les personnes présentes sur ce forum sont superbes!
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    rodeo

    il me sembait que le post était clair

    mais suis les instructions de Lyonnais92 au post 15 que je vais suivre avec grand interet

    Lyonnais92

    bonsoir

    pour info, je suis la procédure sur malekal, fixer, MBAM ou plus fort s'il cela s'avere inévitable...

    0
  10. GiLidan Messages postés 49 Statut Membre
     
    Tu peux aussi essayer à l'aide du site là : http://www.hijackthis.de/fr

    Tu télécharges le logiciel du site après a l'aide de celui-ci tu fais un scanne des processus de ton pc, et en copiant cette analyse dans le site il te dis ce qu'il faut supprimer ou non...

    Et dans le logiciel tu sélectionne ce qu'il y a à supprimer et tu mets eeuh ben je sais pu le nom mais tu fix les processus défectueux...

    Voilà si ça peut aider!
    0
    1. rodeo
       
      il détecte rien de suspect...
      0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    rodeo

    fais le post 15 et ne t'éparpille pas à toutes solutions proposées....
    0
    1. rodeo
       
      je l'ai fait le post 15, en post 17
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu n'utilises l'ordi que pour les besoins de la désinfection.


    ===
    Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201001/cijWSZ0KNh.txt

    Ouvre le fichier.

    Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.

    ===

    ● Télécharge CCleaner :
    https://www.commentcamarche.net/telecharger/ 168 ccleaner
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    ● Choisis bien "Français" comme langue .
    ● Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tutoriel ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    ● Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    ● va dans "Nettoyeur" : fais "Analyse" puis "Nettoyage"
    ● va dans "Registre" : fais "Chercher les erreurs" et "Réparer toutes les erreurs"
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ===

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

    ===

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

    hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse

    0
    1. rodeo
       
      J'ai fais tout ce tu m'as dis...

      Sauf qu'un problème se pose...

      J'ai collé le rapport de ZHP dans un dossier word et après l'examen de ComboFix, impossible de l'ouvrir (ni mes autres programmes d'ailleurs). Pour ouvrir Firefox j'ai du faire en tant qu'administrateur... sinon un message de ce type s'ouvre:

      C:\Program Files\Mozilla Firefox\firefox.exe

      Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression.

      Ensuite le rapport de ComboFix je l'ai copié et voulu l'enregistrer dans un document word... impossible d'ouvrir word.

      J'ai alors lancé MBAM en suivant toute tes recommandations et ai copié le rapport à la fin (effaçant celui de ComboFix...)

      Donc je n'ai actuellement qu'un seul rapport, celui de MBAM, qui voici (qui n'a rien détecté):

      Malwarebytes' Anti-Malware 1.43
      Version de la base de données: 3489
      Windows 6.0.6001 Service Pack 1
      Internet Explorer 8.0.6001.18865

      03.01.2010 23:54:04
      mbam-log-2010-01-03 (23-54-04).txt

      Type de recherche: Examen rapide
      Eléments examinés: 98256
      Temps écoulé: 4 minute(s), 37 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Je peux refaire l'analyse de ComboFix s'il le faut, mais j'aimerais comprendre pourquoi après cette analyse je ne peux plus rien ouvrir...
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu ne fais pas redémarrer l'ordi.

    Tu le laisses allumé toute la nuit si nécessaire.

    Ouvre l'Explorateur Windows, cherche C:\Combofix.txt. Clic droit pour l'ouvrir avec le Bloc notes;

    Poste le dans ta réponse.

    Pour le rapport de ZHPDiag, tu passes par la procédure Cijoint que je t'ai donné sur :

    C:\Program Files\Diaghelp\Diaghelp.txt
    0
    1. rodeo
       
      Voila pour ComboFix:

      ComboFix 10-01-03.01 - Romain 03.01.2010 22:57:58.1.2 - x86
      Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.41.1036.18.3068.1454 [GMT 1:00]
      Lancé depuis: c:\users\Romain\Desktop\ComboFix.exe
      SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\$recycle.bin\S-1-5-21-2829803041-1621687269-2965781760-500
      c:\$recycle.bin\S-1-5-21-694296924-2617674396-2275898839-500
      c:\program files\Common Files\Microsoft Shared\saqdcqyf.dll
      c:\windows\system32\oem10.inf

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_saqdcqyf
      -------\Service_saqdcqyf


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-03 au 2010-01-03 ))))))))))))))))))))))))))))))))))))
      .

      2010-01-03 22:10 . 2010-01-03 22:10 -------- d-----w- c:\users\Default\AppData\Local\temp
      2010-01-03 18:37 . 2010-01-03 21:33 -------- d-----w- c:\program files\ZHPDiag
      2010-01-03 00:18 . 2010-01-03 00:18 -------- d-----w- c:\programdata\WindowsSearch
      2010-01-03 00:10 . 2010-01-03 00:10 -------- d-----w- c:\program files\AVG
      2009-12-28 22:50 . 2009-12-28 22:50 -------- d-----w- c:\programdata\Office Genuine Advantage
      2009-12-25 21:05 . 2009-12-29 15:43 -------- d-----w- c:\program files\Microsoft Silverlight
      2009-12-19 18:18 . 2009-12-20 14:23 81984 ----a-w- c:\windows\system32\bdod.bin
      2009-12-19 18:12 . 2009-12-20 14:24 -------- d-----w- c:\program files\Common Files\Softwin
      2009-12-17 20:40 . 2009-12-17 20:41 -------- d-----w- C:\UsbFix
      2009-12-17 19:04 . 2009-12-17 19:04 -------- d-----w- c:\users\Romain\AppData\Roaming\Malwarebytes
      2009-12-17 19:04 . 2010-01-03 22:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-12-17 19:04 . 2009-12-17 19:04 -------- d-----w- c:\programdata\Malwarebytes
      2009-12-15 18:18 . 2009-12-17 17:21 -------- d-----w- c:\program files\Panda Security
      2009-12-15 18:13 . 2009-12-15 18:13 411368 ----a-w- c:\windows\system32\deploytk.dll
      2009-12-15 17:56 . 2010-01-03 21:34 -------- d-----w- c:\program files\ZHPFix
      2009-12-14 21:04 . 2010-01-03 19:02 -------- d-----w- c:\program files\trend micro
      2009-12-14 21:04 . 2009-12-14 21:05 -------- d-----w- C:\rsit
      2009-12-14 20:10 . 2009-12-17 17:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2009-12-14 20:10 . 2009-12-17 17:22 -------- d-----w- c:\programdata\Spybot - Search & Destroy
      2009-12-14 16:08 . 2009-12-14 16:08 -------- d-----w- c:\programdata\McAfee
      2009-12-14 16:07 . 2009-12-14 16:07 -------- d-----w- c:\programdata\McAfee Security Scan
      2009-12-14 16:06 . 2009-12-01 18:43 34496 ----a-w- c:\users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\wdvoqumw.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
      2009-12-14 16:06 . 2009-12-01 18:43 25936 ----a-w- c:\users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\wdvoqumw.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
      2009-12-14 14:22 . 2009-12-14 14:22 1924744 ----a-w- c:\users\Romain\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
      2009-12-13 11:31 . 2009-12-13 11:31 -------- d-----w- c:\users\Romain\AppData\Local\Downloaded Installations
      2009-12-12 02:02 . 2009-11-09 13:22 24064 ----a-w- c:\windows\system32\nshhttp.dll
      2009-12-12 02:02 . 2009-11-09 11:04 411136 ----a-w- c:\windows\system32\drivers\http.sys
      2009-12-12 02:02 . 2009-11-09 13:20 31232 ----a-w- c:\windows\system32\httpapi.dll
      2009-12-10 23:00 . 2009-12-10 23:00 -------- d-----w- c:\program files\Free M4a to MP3 Converter
      2009-12-10 07:29 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll
      2009-12-10 07:29 . 2009-10-07 12:41 244224 ----a-w- c:\windows\system32\rastls.dll
      2009-12-10 07:29 . 2009-10-07 12:41 281600 ----a-w- c:\windows\system32\raschap.dll
      2009-12-09 18:09 . 2009-12-09 18:09 1727736 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
      2009-12-07 17:44 . 2009-12-07 17:44 439816 ----a-w- c:\users\Romain\AppData\Roaming\Real\Update\setup3.09\setup.exe

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-01-03 22:19 . 2009-06-26 22:20 -------- d-----w- c:\users\Romain\AppData\Roaming\DNA
      2010-01-03 22:19 . 2009-03-09 16:08 77296 ----a-w- c:\users\Romain\AppData\Local\GDIPFONTCACHEV1.DAT
      2010-01-03 22:18 . 2008-12-16 02:16 48734 ----a-w- c:\programdata\nvModes.dat
      2009-12-25 21:09 . 2008-12-16 02:16 -------- d-----w- c:\programdata\NVIDIA
      2009-12-25 21:04 . 2009-09-16 16:03 -------- d-----w- c:\program files\Microsoft
      2009-12-20 16:04 . 2008-01-21 02:23 21560 ----a-w- c:\windows\system32\drivers\atapi.sys
      2009-12-20 14:41 . 2009-04-20 21:11 7592 ----a-w- c:\users\Romain\AppData\Local\d3d9caps.dat
      2009-12-20 00:46 . 2009-03-09 15:58 -------- d-----w- c:\program files\Common Files\Adobe
      2009-12-17 20:16 . 2009-08-09 22:51 -------- d-----w- c:\program files\Google
      2009-12-17 20:13 . 2009-10-07 22:25 -------- d-----w- c:\program files\Cheat Engine
      2009-12-15 18:13 . 2008-12-16 02:58 -------- d-----w- c:\program files\Java
      2009-12-15 16:34 . 2008-12-16 09:13 653034 ----a-w- c:\windows\system32\perfh010.dat
      2009-12-15 16:34 . 2008-12-16 09:13 119750 ----a-w- c:\windows\system32\perfc010.dat
      2009-12-15 16:34 . 2008-12-16 09:06 607742 ----a-w- c:\windows\system32\perfh007.dat
      2009-12-15 16:34 . 2008-12-16 09:00 669566 ----a-w- c:\windows\system32\perfh00C.dat
      2009-12-15 16:34 . 2008-12-16 09:00 123556 ----a-w- c:\windows\system32\perfc00C.dat
      2009-12-15 16:34 . 2008-12-16 09:06 122410 ----a-w- c:\windows\system32\perfc007.dat
      2009-12-14 20:09 . 2009-06-26 22:20 -------- d-----w- c:\users\Romain\AppData\Roaming\BitTorrent
      2009-12-11 02:19 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
      2009-12-10 16:45 . 2009-12-10 16:45 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
      2009-11-24 13:31 . 2009-03-20 12:55 138576 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
      2009-11-24 13:31 . 2009-03-20 12:54 215104 ----a-w- c:\windows\system32\PnkBstrB.exe
      2009-11-23 16:09 . 2009-03-20 12:54 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
      2009-11-22 12:06 . 2009-11-08 10:52 -------- d-----w- c:\users\Romain\AppData\Roaming\HpUpdate
      2009-11-21 06:40 . 2009-12-25 21:15 916480 ----a-w- c:\windows\system32\wininet.dll
      2009-11-21 06:34 . 2009-12-25 21:15 71680 ----a-w- c:\windows\system32\iesetup.dll
      2009-11-21 06:34 . 2009-12-25 21:15 109056 ----a-w- c:\windows\system32\iesysprep.dll
      2009-11-21 04:59 . 2009-12-25 21:15 133632 ----a-w- c:\windows\system32\ieUnatt.exe
      2009-11-11 22:11 . 2009-11-11 22:11 -------- d-----w- c:\program files\HandBrake
      2009-11-09 20:23 . 2008-12-16 01:35 -------- d--h--w- c:\program files\InstallShield Installation Information
      2009-11-09 20:23 . 2008-12-16 01:35 -------- d-----w- c:\program files\Common Files\InstallShield
      2009-11-09 07:36 . 2009-11-09 07:36 265797 ----a-w- c:\windows\system32\pdvcodec.dll
      2009-11-08 10:52 . 2008-12-16 03:20 -------- d-----w- c:\program files\HP
      2009-11-02 19:42 . 2009-10-02 23:36 195456 ------w- c:\windows\system32\MpSigStub.exe
      2009-10-29 09:41 . 2009-11-25 22:13 2048 ----a-w- c:\windows\system32\tzres.dll
      2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
      2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
      2008-12-16 09:46 . 2008-12-16 09:15 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
      "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
      "BitTorrent DNA"="c:\users\Romain\Program Files\DNA\btdna.exe" [2009-11-12 323392]
      "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
      "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]
      "DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]
      "TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-09-25 1152296]
      "CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-09-25 189736]
      "UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
      "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-09-23 912688]
      "UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
      "UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-09-26 210216]
      "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
      "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
      "UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
      "UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-15 149280]
      "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
      "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
      "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-05-05 198160]
      "TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-04-22 206120]
      "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
      "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
      "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-23 13797920]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "EnableUIADesktopToggle"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
      @="Service"

      R2 {55662437-DA8C-40c0-AADA-2C816A897A49};{55662437-DA8C-40c0-AADA-2C816A897A49};c:\program files\Hewlett-Packard\Media\DVD\000.fcl [26.09.2008 02:36 59376]
      R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\AEstSrv.exe [02.03.2009 18:43 81920]
      R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21.01.2008 03:23 21504]
      R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18.03.2008 16:24 19456]
      R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [16.12.2008 04:31 365952]
      R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [22.04.2009 21:53 296320]
      R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [22.04.2009 21:53 116104]
      R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [16.12.2008 02:52 193840]
      R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [04.09.2008 18:47 54784]
      R3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [07.08.2008 18:01 97536]
      R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [06.08.2008 04:29 44576]
      S2 gupdate1ca19446bdc110;Service Google Update (gupdate1ca19446bdc110);c:\program files\Google\Update\GoogleUpdate.exe [09.08.2009 23:52 133104]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      ezSharedSvc

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
      2008-06-09 09:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
      .
      Contenu du dossier 'Tâches planifiées'

      2010-01-03 c:\windows\Tasks\Google Software Updater.job
      - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-09 22:51]

      2010-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-09 22:52]

      2010-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-09 22:52]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ch&c=91&bd=Pavilion&pf=cnnb
      mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ch&c=91&bd=Pavilion&pf=cnnb
      uInternet Settings,ProxyOverride = *.local
      IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-CH\local\search.html
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      FF - ProfilePath - c:\users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\wdvoqumw.default\
      FF - prefs.js: browser.startup.homepage - hxxp://www.qoqa.ch
      FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
      FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
      FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
      FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
      FF - plugin: c:\users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\wdvoqumw.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
      FF - plugin: c:\users\Romain\Program Files\DNA\plugins\npbtdna.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-01-03 23:19
      Windows 6.0.6001 Service Pack 1 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...


      c:\windows\TEMP\TMP0000005337E1408C8E4FD674 524288 bytes

      Scan terminé avec succès
      Fichiers cachés: 1

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll acpi.sys >>UNKNOWN [0x85F85618]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0x82614322
      \Driver\ACPI -> acpi.sys @ 0x8069dd4c
      \Driver\atapi -> ataport.SYS @ 0x826ec9f4
      IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

      **************************************************************************

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
      "ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\nvvsvc.exe
      c:\windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe
      c:\windows\system32\nvvsvc.exe
      c:\windows\system32\WLANExt.exe
      c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\program files\Common Files\LightScribe\LSSrvc.exe
      c:\windows\system32\PnkBstrA.exe
      c:\windows\system32\PnkBstrB.exe
      c:\program files\CyberLink\Shared files\RichVideo.exe
      c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
      c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
      c:\program files\Windows Media Player\wmpnetwk.exe
      c:\windows\system32\conime.exe
      c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
      c:\program files\iPod\bin\iPodService.exe
      c:\windows\ehome\ehmsas.exe
      c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
      .
      **************************************************************************
      .
      Heure de fin: 2010-01-03 23:26:28 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-01-03 22:26

      Avant-CF: 99'372'810'240 octets libres
      Après-CF: 99'535'544'320 octets libres

      - - End Of File - - FEBD3268E51390A0D513C3E10A650DC8


      Et pour ZHP Fix (j'ai finalement réussi à ouvrir le document word après redémarrage mais je n'arrive pas à le trouver à partir de parcourir ni dans "recherche"...) j'espère que ça joue aussi:

      ZHPFix v1.12.24 by Nicolas Coolman - Rapport de suppression du 03.01.2010 22:20:54
      Fichier d'export Registre : C:\ZHPExportRegistry-03.01.2010-22-20-54.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      (Néant)

      Valeur du Registre :
      O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\pdol.tmp\svchost.exe => Valeur absente

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      c:\windows\temp\pdol.tmp\svchost.exe => Fichier absent

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 0
      Valeur du Registre : 1
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 1
      Logiciel : 0
      Autre : 0


      End of the scan



      Ok je laisse tourner toute la nuit...
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
    0
    1. rodeo
       
      http://www.cijoint.fr/cjlink.php?file=cj201001/cijnZ282zy.txt

      Cette fois je l'ai lancé et n'ai plus rien touché jusqu'à ce que, qu'en je passais la souris dessus, le logo de chargement n'apparaisse plus et que soit marqué End of Scan.
      0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais redémarrer l'ordi.

    As tu encore des soucis ?
    0
    1. rodeo
       
      J'ai réinstaller AVG (désinstaller pour ComboFix) je vous redis s'il détecte a nouveau un problème...

      Mais lors du démarrage, 3 messages d'arrêt de programme (je n'en avais signalé que deux car des fois il y en avait 2 des fois 3...) je ne sais pas si je dois télécharger des pilotes ou des choses comme cela?
      0
    2. rodeo
       
      J'ai oublié de dire quels programmes avaient étés arrêtés:

      HP Health Check Scheduler

      HP MediaSmart SmartMenu

      HP Health Check Service
      0
      1. rodeo > rodeo
         
        Oh quel bonheur!!! AVG n'a rien détecté de suspect et dans le fichier "temp" il n'y a plus de fichier qui contient le nom du virus que j'avais (svchost.exe ou quelque chose comme ça). Moi qui croyais impossible de supprimer un virus d'un ordi a part en le formatant...

        Mais je me demande (voir post précédent) si je dois télécharger des pilotes...

        J'aurais voulu savoir ce qui a supprimé le virus, enfin comment vous vous y êtes pris (si c'est pas trop compliqué pour un novice en informatique)

        Je fini en vous remerciant tous de votre aide et de vos réponses rapides et efficaces!! Que vive ce forum.
        0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pour tes 3 programmes, refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

    Pour le second, HP MediaSmart SmartMenu, essaye de le retélécharger et le réinstaller :

    http://h10025.www1.hp.com/ewfrf/wc/softwareDownloadIndex?softwareitem=ob-75909-1&lc=fr&dlc=fr&cc=fr&product=3933572&os=4063&lang=fr
    0
    1. rodeo
       
      J'ai installé le programme HP MediaSmart SmartMenu, je verrai en redémarrant si ça a joué...

      Voilà le rapport ZHPDiag:

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijn64CdMr.txt
      0
    2. rodeo
       
      Il existe encore un "svchost.exe" dans system32 mais ni MBAM, ni AVG n'ont détecté quelque chose d'anormal.

      Comment ce fait-il que l'autre "svchost.exe" se trouvant dans C:\Windows\Temp... était-il dangereux alors que celui dans C:\Windows\System 32... n'est pas dangereux?
      0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    un peu de lecture :

    https://www.commentcamarche.net/informatique/windows/225-gerer-le-processus-svchost-exe-de-windows/

    Je pense que un malware a usurpé le nom d'un processus légitime en le mettant ailleurs qu'à sa vraie place.

    La référence que je t'ai donné dit qu'il y a un seul fichier mais qu'il peut y avoir plusieurs processus (en mémoire) svchost
    0
    1. rodeo
       
      D'accord donc j'arrête de me faire du soucis, merci.

      Sinon pour les 3 programmes j'ai toujours des fenêtres d'erreurs qui viennent à chaque fois, même pour MediaSmart SmartMenu après l'avoir réinstallé...

      Dois-je créer un nouveau topic?
      0
    2. rodeo
       
      Très mauvaise nouvelle...

      AVG a trouvé un Cheval de Troie:

      Nom du fichier: C:\Windows\temp\esbv.tmp\svchost.exe

      Nom de la menace: Cheval de Troie : SHeur2.CDES
      Détecté à l'ouverture.

      Aïe...
      0
      1. rodeo > rodeo
         
        Encore un mais cette fois-ci dans:

        C:\Windows\temp\ntii.tmp\svchost.exe

        Comme avant, il détecte chaque fois un nouveau dossier dans C:\Windows\temp\...
        0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    qui utilise cet ordi ?

    A quoi a-t-il servi entre le 4 à 17h17 et le 5 à 15h01 ?
    0
    1. rodeo
       
      Bonjour,

      Je suis le seul a utiliser cet ordi.

      Si j'ai utilisé mon ordi durant cette période c'était soit pour regarder un film soit pour surfer sur internet (sûrement les deux). Je n'ai rien téléchargé durant cette période.

      J'ai téléchargé Anti-Trojan Elite pour détecté et seul les membres peuvent supprimer les virus. Mais je suis retourné dans C:\Windows\temp\... et j'ai supprimé manuellement le programme svchost.exe... Cette fois cela a fonctionné alors que les autres fois un message me disait que le programme était utilisé par un autre programme...

      Je ne sais pas si cela va suffire, mais j'ai remarqué quelque chose, tous les programmes de base d'HP ne fonctionnent plus...
      0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    refais tourner ZHPDiag et poste le rapport.

    ===

    Comment est configuré ton parefeu ?

    Regarde par rapport à ceci :

    https://www.malekal.com/windows-defender-firewall-parametrage/
    0
    1. rodeo
       
      Désolé je n'ai pas eu accès à mond ordinateur hier, et aujourd'hui je ne suis pas sur le mien non plus.

      Je poste la réponse le plus rapidement possible
      0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    OK.
    0
    1. rodeo
       
      Le lien:

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijgSwEJu0.txt

      J'ai juste du modifier sous enregistrement, les deux derniers points, sinon le reste était pareil.
      0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    =>Télécharge ATF-Cleaner (Attribune)
    -- Met le sur ton bureau
    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner

    tu l'utilises avant de fermer une session

    ===

    Ta console java n'est pas à jour.

    Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

    http://raproducts.org/click/click.php?id=1

    * Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
    * Double-clique sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
    0
    1. rodeo
       
      Lorsque que j'ai cliqué sur recherche de mise à jour, j'ai autorisé et après l'outil m'a dit que je disposais déjà de la dernière version...

      J'ai quand même cliqué sur effacer les dernières versions, mais aucun rapport ne s'est ouvert, et dans "recherche" rien ne se trouve sous JavaRa.log...

      Je n'ai plus aucun signe de ce virus, mais j'ai toujours ces fenêtres qui s'ouvrent au démarrage... Je ne sais pas quoi réinstaller... Je voudrais ce que je pourrais faire pour savoir s'il y a encore ce virus (comme un programme qui fait un immense scan super minutieux).
      0
  • 1
  • 2