Comment RKIT/Kryptic.763904
Résolu
cg
-
cri -
cri -
Bonjour,
mon antivirus Avira Antivir m'a détecté RKIT/Kryptic.763904 dans le dossier C:\Windows\System32\drivers
et il n'arrive pas à le supprimer.
je ne sais pas quoi faire, ce virus est-il dangereux ?
si je ré-initialise à une date antérieur, cela peut-il régler le problème ?
Pouvez-vous m'aider ?
mon antivirus Avira Antivir m'a détecté RKIT/Kryptic.763904 dans le dossier C:\Windows\System32\drivers
et il n'arrive pas à le supprimer.
je ne sais pas quoi faire, ce virus est-il dangereux ?
si je ré-initialise à une date antérieur, cela peut-il régler le problème ?
Pouvez-vous m'aider ?
Configuration: Windows Vista Firefox 3.5.7
23 réponses
- 1
- 2
Suivant
Résumé de la discussion
Une alerte antivirus signale RKIT/Kryptic.763904 dans le dossier C:\Windows\System32\drivers et l’impossibilité de le supprimer, questionnant sa dangerosité, les risques potentiels et l’éventuelle efficacité d’une restauration système.
Des solutions proposées consist à exécuter des outils dédiés comme GMER et RSIT pour détecter des rootkits, puis à compiler des rapports détaillés afin d’établir les éléments à transmettre pour analyse.
D'autres propositions recommandent des analyses complémentaires et des mesures pratiques telles que déconnecter Internet, lancer des scans en mode sans échec et supprimer les éléments détectés avec des outils spécialisés.
Pour finir, résultats et recommandations varient selon la configuration système et le niveau d’empreinte du rootkit, ce qui peut impliquer des étapes de nettoyage poussées ou une réinstallation après sauvegarde des données.
-
slt colle le rapport d'antivir
puis
Téléchargez Gmer. (Przemyslaw Gmerek) sur votre bureau.
http://www2.gmer.net/gmer.zip
* Dézippez-le dans un dossier dédié ou sur votre Bureau.
* Déconnectez vous d'Internet puis fermez tous les programmes.
* Double-cliquez sur Gmer.exe.
* Cliquez sur l'onglet Rootkit.
* A droite, cochez seulement Files, Services & Registry.
* Cliquez maintenant sur Scan.
* Lorsque le scan est terminé, cliquez sur Copy.
* Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
* Le rapport doit alors apparaitre.
* Enregistrez le fichier sur votre Bureau et postez le contenu sur le forum forum Virus/Sécurité de CCM-
Voici déjà le rapport d'antivir
Avira AntiVir Personal
Date de création du fichier de rapport : lundi 11 janvier 2010 10:33
La recherche porte sur 1515470 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : CAROLINEGOULARD
Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:16:15
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:16:14
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:16:14
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 20:16:14
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 20:16:14
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 20:16:14
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 20:16:14
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 20:16:14
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 20:16:14
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 20:16:14
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 20:16:14
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 20:16:14
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 20:16:14
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 20:16:14
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:10:45
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 19:41:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 17:37:11
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 17:36:36
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 20:53:15
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 19:53:27
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:41:30
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 09:51:38
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 19:18:14
VBASE022.VDF : 7.10.2.132 2048 Bytes 07/01/2010 19:18:14
VBASE023.VDF : 7.10.2.133 2048 Bytes 07/01/2010 19:18:15
VBASE024.VDF : 7.10.2.134 2048 Bytes 07/01/2010 19:18:15
VBASE025.VDF : 7.10.2.135 2048 Bytes 07/01/2010 19:18:15
VBASE026.VDF : 7.10.2.136 2048 Bytes 07/01/2010 19:18:15
VBASE027.VDF : 7.10.2.137 2048 Bytes 07/01/2010 19:18:15
VBASE028.VDF : 7.10.2.138 2048 Bytes 07/01/2010 19:18:15
VBASE029.VDF : 7.10.2.139 2048 Bytes 07/01/2010 19:18:15
VBASE030.VDF : 7.10.2.140 2048 Bytes 07/01/2010 19:18:15
VBASE031.VDF : 7.10.2.155 192000 Bytes 11/01/2010 09:31:40
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 18:18:48
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04/01/2010 17:44:30
AESCN.DLL : 8.1.3.0 127348 Bytes 10/12/2009 17:47:13
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 20:16:15
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 19:41:56
AEPACK.DLL : 8.2.0.4 422263 Bytes 04/01/2010 17:44:22
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 08:44:48
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 08/01/2010 19:18:17
AEHELP.DLL : 8.1.9.0 237943 Bytes 16/12/2009 20:53:17
AEGEN.DLL : 8.1.1.83 369014 Bytes 04/01/2010 17:43:35
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 22:22:48
AECORE.DLL : 8.1.9.1 180598 Bytes 10/12/2009 17:47:13
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 19:36:11
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 19:01:16
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:16:14
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +GAME,+JOKE,+PCK,+SPR,
Début de la recherche : lundi 11 janvier 2010 10:33
La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\jt2m3g2
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\d3dg1f5om3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwyia\if5er8bw
[INFO] L'entrée d'enregistrement n'est pas visible.
'102337' objets ont été contrôlés, '7' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunes.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés
Processus de recherche 'ePower_DMC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpohmr08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'googletalk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rainlendar2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleQuickSearchBox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchSettings.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerOrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BR040286.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSMSNfix.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'92' processus ont été contrôlés avec '92' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '57' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\fwyia.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>
Début de la désinfection :
C:\Windows\System32\drivers\fwyia.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.
Fin de la recherche : lundi 11 janvier 2010 13:26
Temps nécessaire: 2:49:31 Heure(s)
La recherche a été effectuée intégralement
25711 Les répertoires ont été contrôlés
497238 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
497234 Fichiers non infectés
3140 Les archives ont été contrôlées
3 Avertissements
3 Consignes
102337 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
-
-
ok fais GMER
et par la suite
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit-
voici le rapport de gmer, je continue à suivre vos dernières indications :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-11 15:21:24
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\BOULAN~1\AppData\Local\Temp\uglcapow.sys
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] fwyia <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\fwyia@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\fwyia@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\fwyia@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\fwyia@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\fwyia@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\fwyia@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\fwyia@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\fwyia@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----- voici log :
Logfile of random's system information tool 1.06 (written by random/random)
Run by boulanger at 2010-01-11 15:42:57
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 16 GB (30%) free of 52 GB
Total RAM: 1789 MB (55% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:59, on 11/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDSMSNfix.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\BR040286.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Windows\AcerOrbiCam.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\svchost.exe
C:\Users\boulanger\Desktop\RSIT.exe
C:\Program Files\trend micro\boulanger.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDSMSNfix] C:\Acer\Empowering Technology\eDSMSNfix.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Acer OrbiCam] C:\Windows\AcerOrbiCam.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: siszyd32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL eNetHook.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Program Files\Common Files\Symantec Shared\Support Controls\ssrc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
- voici info. J'attends la suite de vos instructions et vous remercie de m'aider
info.txt logfile of random's system information tool 1.06 2010-01-10 22:47:41
======Uninstall list======
-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\setup.exe" -uninstall
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B804C424-B66D-447A-84BD-C6B88C392C3A}\setup.exe" -uninstall
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F79A208D-D929-11D9-9D77-000129760D75}\setup.exe" -uninstall
Acer Arcade Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}\setup.exe" -uninstall
Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL
Acer eLock Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{116FF17B-1A30-4FC2-9B01-5BC5BD46B0B3}\setup.exe" -l0x40c -removeonly
Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly
Acer eNet Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C06554A1-2C1E-4D20-B613-EE62C79927CC}\setup.exe" -l0x40c -removeonly
Acer ePower Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\setup.exe" -l0x40c -removeonly
Acer ePresentation Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BF839132-BD43-4056-ACBF-4377F4A88E2A}\setup.exe" -l0x40c -removeonly
Acer eSettings Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CE65A9A0-9686-45C6-9098-3C9543A412F0}\setup.exe" -l0x40c -removeonly
Acer GridVista-->C:\Windows\UnInst32.exe GridV.UNI
Acer Mobility Center Plug-In-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11316260-6666-467B-AC34-183FCB5D4335}\setup.exe" -l0x40c -removeonly
Acer OrbiCam Application-->MsiExec.exe /X{0F79C1B2-36B2-4B62-8221-42721CF54638}
Acer OrbiCam Utility Bar-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3BB3B50E-FBD3-4E8B-A72B-45AC5CF23135}\Setup.exe" -l0x9
Acer OrbiCam-->Rundll32.exe BisonR07.dll,WinMainRmv
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
AcerOrbiCam-->C:\Program Files\InstallShield Installation Information\{D26569C3-9B03-4669-9EC5-9FCF70933688}\setup.exe -runfromtemp -l0x0009 -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Download Manager-->"C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI Uninstaller-->C:\Program Files\ATI\CIM\Bin\Atisetup.exe -uninstall all
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
ccc-Branding-->MsiExec.exe /I{34ED728D-ECE5-4A0D-9963-B54B318D0932}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
e-Carte Bleue Banque Populaire-->"C:\Program Files\InstallShield Installation Information\{B0900CB5-8EC0-43B4-9DAC-A32FE52DC864}\setup.exe" -runfromtemp -l0x040c -removeonly
Free Mp3 Wma Converter V 1.81-->"C:\Program Files\Free Audio Pack\unins000.exe"
Google Desktop-->C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
Google Talk (remove only)-->"C:\Program Files\Google\Google Talk\uninstall.exe"
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_0E996B068B56FCA2.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\HXFSETUP.EXE -U -IAcrZUn32z.inf
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
K-Lite Codec Pack 5.1.0 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Launch Manager-->C:\Windows\UnInst32.exe LManager.UNI
Logitech Video Enumerator-->MsiExec.exe /X{EA516024-D84D-41F1-814F-83175A6188F2}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{0000040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 SR-1 Disque 2-->MsiExec.exe /I{0004040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MVision-->MsiExec.exe /I{35725FBC-A136-4A46-9F29-091759D9BB93}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
pdfforge Toolbar v1.0-->MsiExec.exe /X{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
Photo et imagerie HP 2.0 - All-in-One Pilote-->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Photo et imagerie HP 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
Photo et imagerie HP 2.0 - hp psc 1200 series-->C:\Program Files\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
Picasa 2-->"C:\Program Files\Picasa2\Uninstall.exe"
PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.EXE" -uninstall
Programme de gestion Camera de Acer-->"C:\Program Files\Common Files\Acer\OrbiCam\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Rainlendar2 (remove only)-->"C:\Program Files\Rainlendar2\uninst.exe"
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Search Settings 1.2.1-->MsiExec.exe /X{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Simple PDF-->"C:\Program Files\Simple PDF\unins000.exe"
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Symantec Technical Support Web Controls-->MsiExec.exe /X{20C53FA2-4307-4671-A93F-9463B29DFCF1}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WDCSAM Driver-->MsiExec.exe /X{E064390A-2F64-4195-9A55-30D4B20B865A}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
======Security center information======
FW: ZoneAlarm Firewall
AS: Windows Defender (disabled) (outdated)
======System event log======
Computer Name: CarolineGoulard
Event Code: 6008
Message: L'arrêt système précédant à 22:42:34 le 25/09/2009 n'était pas prévu.
Record Number: 305755
Source Name: EventLog
Time Written: 20090927193341.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 23
Message: L'imprimante Easy PDF Creator n'a pas pu s'initialiser car aucun pilote Easy PDF Creator adéquat n'a été trouvé. Les paramètres spécifiés pour la nouvelle imprimante n'ont pas pris effet. Installez ou réinstallez le pilote d'imprimante. Vous devrez peut-être contacter le fournisseur pour obtenir la mise à jour du pilote.
Record Number: 305728
Source Name: Microsoft-Windows-PrintSpooler
Time Written: 20090925183945.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: CarolineGoulard
Event Code: 7000
Message: Le service Planificateur LiveUpdate automatique n'a pas pu démarrer en raison de l'erreur :
Le chemin d'accès spécifié est introuvable.
Record Number: 305685
Source Name: Service Control Manager
Time Written: 20090925183752.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 305628
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090925183740.003859-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.
Record Number: 305616
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090924211551.640250-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Application event log=====
Computer Name: CarolineGoulard
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
21 user registry handles leaked from \Registry\User\S-1-5-21-460588137-713458151-4284630319-1000:
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 988 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Policies\Microsoft\SystemCertificates
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\My
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\My
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\trust
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\Root
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\CA
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Policies
Record Number: 67336
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090212005101.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: CarolineGoulard
Event Code: 1000
Message: Application défaillante mcupdate.EXE, version 6.0.6001.18061, horodatage 0x480ea322, module défaillant KERNEL32.dll, version 6.0.6001.18000, horodatage 0x4791a76d, code d’exception 0xe0434f4d, décalage d’erreur 0x000442eb, ID du processus 0x11b4, heure de début de l’application 0x01c98c9d35807701.
Record Number: 67334
Source Name: Application Error
Time Written: 20090211230539.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3011
Message: Le déchargement des chaînes de compteurs de performances pour le service WmiApRpl (WmiApRpl) a échoué. Le premier DWORD de la section Data contient le code d'erreur.
Record Number: 67332
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 67331
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 67330
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
=====Security event log=====
Computer Name: CarolineGoulard
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : CAROLINEGOULARD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Adresse du réseau : -
Port : -
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 88793
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164938.099562-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 5024
Message: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
Record Number: 88792
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164927.412062-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x29950
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 88791
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164927.349562-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 5033
Message: Le pilote du Pare-feu Windows est correctement démarré.
Record Number: 88790
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164926.990187-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 88789
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164926.740187-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6801
"NUMBER_OF_PROCESSORS"=2
"tvdumpflags"=8
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
-
-
# relancez Gmer
# Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
# Des lignes rouges doivent apparaître en cas d'infection :
* Sur ces lignes rouges:
o Services: Clic-droit puis delete service
o Process: Clic-droit puis kill process
o Adl, file: Clic-droit puis delete files
__________________________
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2. Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)
__________________________
scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
__________________________
mettre à jour adobe reader puis supprimer les anciennes version via le panneau de configuration
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
ou passer a un lecteur alternatif ce qui évitera les virus circulant via les PDF comme foxit reader (ne pas mettre les barres foxit, ask, ebay..)
https://www.commentcamarche.net/telecharger/ 205 foxit reader
__________________________
remets ensuite un rapport rsit
a plus-
problème : j'ai relancé GMER et essayé d'effacer la ligne rouge, mais le logiciel m'a renvoyé deux messages d'erreur :
-Error 0xC0000010:Service "fwyia" was note deleted.
-File ""couldn't be delated. Error OxOOOOOO7B !: Syntaxe du nom de fichier, de répertoire ou de volume incorrecte.
Que dois-je faire ?
je passe aux étapes suivantes de votre dernier message ?
-
-
-
Voici pour navilog:
Fix Navipromo version 4.0.6 commencé le 11/01/2010 16:45:13,47
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53 )
BIOS : Ver 1.00PARTTBL
USER : boulanger ( Administrator )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.1.254.000 (Activated)
C:\ (Local Disk) - NTFS - Total:51 Go (Free:15 Go)
D:\ (Local Disk) - NTFS - Total:50 Go (Free:34 Go)
E:\ (CD or DVD)
Recherche executée en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvée/b
*** Scan terminé 11/01/2010 16:45:40,73 ***- Voici pour ToolbarSD :
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53 )
BIOS : Ver 1.00PARTTBL
USER : boulanger ( Administrator )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.1.254.000 (Activated)
C:\ (Local Disk) - NTFS - Total:51 Go (Free:15 Go)
D:\ (Local Disk) - NTFS - Total:50 Go (Free:34 Go)
E:\ (CD or DVD)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 11/01/2010|16:48 )
[ UAC => 1 ]
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\Search Settings\kb128
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\Program Files\Search Settings
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"SEARCH PAGE"="https://www.google.com/?gws_rd=ssl"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Url"="https://www.msn.com/fr-fr/actualite/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\Windows\\System32\\blank.htm"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
[ UAC => 1 ]
1 - "C:\ToolBar SD\TB_1.txt" - 11/01/2010|16:49 - Option : [2]
-----------\\ Fin du rapport a 16:49:36,80
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
j'ai fait un examen complet via malware, d'où le délais de réponse. voici le log. je passe à la suite
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3535
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
11/01/2010 18:47:32
mbam-log-2010-01-11 (18-47-32).txt
Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 237241
Temps écoulé: 1 hour(s), 21 minute(s), 51 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\boulanger\AppData\Local\Temp\~TM1781.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\fwyia.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siszyd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\boulanger\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\boulanger\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
-
-
-
j'ai téléchargé Foxit Reader et désinstallé Adobe Reader (j'avais une version 7). Je n'ai pas installé la barre d'outil foxit ni ebay (mais j'ai laissé l'option "faire de Foxit votre reader par défaut). Je vous fais confiance, j'ai lu dans les commentaires de la page de téléchargement que quelqu'un avait attrapé un trojan en téléchargeant le fichier. J'espère ne pas attraper ça en plus...
je fais suivre les rapports rsit.
où en est on?
merci beaucoup de votre aide
rapport log :
Logfile of random's system information tool 1.06 (written by random/random)
Run by boulanger at 2010-01-11 19:32:26
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 16 GB (31%) free of 52 GB
Total RAM: 1789 MB (45% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:36, on 11/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDSMSNfix.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\BR040286.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Windows\AcerOrbiCam.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\boulanger\Downloads\RSIT.exe
C:\Program Files\trend micro\boulanger.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDSMSNfix] C:\Acer\Empowering Technology\eDSMSNfix.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Acer OrbiCam] C:\Windows\AcerOrbiCam.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL eNetHook.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Program Files\Common Files\Symantec Shared\Support Controls\ssrc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
- voila info.
j'attends vos consignes pour la suite
info.txt logfile of random's system information tool 1.06 2010-01-10 22:47:41
======Uninstall list======
-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\setup.exe" -uninstall
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B804C424-B66D-447A-84BD-C6B88C392C3A}\setup.exe" -uninstall
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F79A208D-D929-11D9-9D77-000129760D75}\setup.exe" -uninstall
Acer Arcade Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}\setup.exe" -uninstall
Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL
Acer eLock Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{116FF17B-1A30-4FC2-9B01-5BC5BD46B0B3}\setup.exe" -l0x40c -removeonly
Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly
Acer eNet Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C06554A1-2C1E-4D20-B613-EE62C79927CC}\setup.exe" -l0x40c -removeonly
Acer ePower Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\setup.exe" -l0x40c -removeonly
Acer ePresentation Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BF839132-BD43-4056-ACBF-4377F4A88E2A}\setup.exe" -l0x40c -removeonly
Acer eSettings Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CE65A9A0-9686-45C6-9098-3C9543A412F0}\setup.exe" -l0x40c -removeonly
Acer GridVista-->C:\Windows\UnInst32.exe GridV.UNI
Acer Mobility Center Plug-In-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11316260-6666-467B-AC34-183FCB5D4335}\setup.exe" -l0x40c -removeonly
Acer OrbiCam Application-->MsiExec.exe /X{0F79C1B2-36B2-4B62-8221-42721CF54638}
Acer OrbiCam Utility Bar-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3BB3B50E-FBD3-4E8B-A72B-45AC5CF23135}\Setup.exe" -l0x9
Acer OrbiCam-->Rundll32.exe BisonR07.dll,WinMainRmv
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
AcerOrbiCam-->C:\Program Files\InstallShield Installation Information\{D26569C3-9B03-4669-9EC5-9FCF70933688}\setup.exe -runfromtemp -l0x0009 -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Download Manager-->"C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI Uninstaller-->C:\Program Files\ATI\CIM\Bin\Atisetup.exe -uninstall all
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
ccc-Branding-->MsiExec.exe /I{34ED728D-ECE5-4A0D-9963-B54B318D0932}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
e-Carte Bleue Banque Populaire-->"C:\Program Files\InstallShield Installation Information\{B0900CB5-8EC0-43B4-9DAC-A32FE52DC864}\setup.exe" -runfromtemp -l0x040c -removeonly
Free Mp3 Wma Converter V 1.81-->"C:\Program Files\Free Audio Pack\unins000.exe"
Google Desktop-->C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
Google Talk (remove only)-->"C:\Program Files\Google\Google Talk\uninstall.exe"
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_0E996B068B56FCA2.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\HXFSETUP.EXE -U -IAcrZUn32z.inf
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
K-Lite Codec Pack 5.1.0 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Launch Manager-->C:\Windows\UnInst32.exe LManager.UNI
Logitech Video Enumerator-->MsiExec.exe /X{EA516024-D84D-41F1-814F-83175A6188F2}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{0000040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 SR-1 Disque 2-->MsiExec.exe /I{0004040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MVision-->MsiExec.exe /I{35725FBC-A136-4A46-9F29-091759D9BB93}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
pdfforge Toolbar v1.0-->MsiExec.exe /X{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
Photo et imagerie HP 2.0 - All-in-One Pilote-->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Photo et imagerie HP 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
Photo et imagerie HP 2.0 - hp psc 1200 series-->C:\Program Files\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
Picasa 2-->"C:\Program Files\Picasa2\Uninstall.exe"
PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.EXE" -uninstall
Programme de gestion Camera de Acer-->"C:\Program Files\Common Files\Acer\OrbiCam\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Rainlendar2 (remove only)-->"C:\Program Files\Rainlendar2\uninst.exe"
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Search Settings 1.2.1-->MsiExec.exe /X{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Simple PDF-->"C:\Program Files\Simple PDF\unins000.exe"
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Symantec Technical Support Web Controls-->MsiExec.exe /X{20C53FA2-4307-4671-A93F-9463B29DFCF1}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WDCSAM Driver-->MsiExec.exe /X{E064390A-2F64-4195-9A55-30D4B20B865A}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
======Security center information======
FW: ZoneAlarm Firewall
AS: Windows Defender (disabled) (outdated)
======System event log======
Computer Name: CarolineGoulard
Event Code: 6008
Message: L'arrêt système précédant à 22:42:34 le 25/09/2009 n'était pas prévu.
Record Number: 305755
Source Name: EventLog
Time Written: 20090927193341.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 23
Message: L'imprimante Easy PDF Creator n'a pas pu s'initialiser car aucun pilote Easy PDF Creator adéquat n'a été trouvé. Les paramètres spécifiés pour la nouvelle imprimante n'ont pas pris effet. Installez ou réinstallez le pilote d'imprimante. Vous devrez peut-être contacter le fournisseur pour obtenir la mise à jour du pilote.
Record Number: 305728
Source Name: Microsoft-Windows-PrintSpooler
Time Written: 20090925183945.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: CarolineGoulard
Event Code: 7000
Message: Le service Planificateur LiveUpdate automatique n'a pas pu démarrer en raison de l'erreur :
Le chemin d'accès spécifié est introuvable.
Record Number: 305685
Source Name: Service Control Manager
Time Written: 20090925183752.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 305628
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090925183740.003859-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.
Record Number: 305616
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090924211551.640250-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Application event log=====
Computer Name: CarolineGoulard
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
21 user registry handles leaked from \Registry\User\S-1-5-21-460588137-713458151-4284630319-1000:
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 988 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Policies\Microsoft\SystemCertificates
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\My
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\My
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\trust
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\Root
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Microsoft\SystemCertificates\CA
Process 2244 (\Device\HarddiskVolume2\Program Files\Google\Gmail Notifier\gnotify.exe) has opened key \REGISTRY\USER\S-1-5-21-460588137-713458151-4284630319-1000\Software\Policies
Record Number: 67336
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090212005101.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: CarolineGoulard
Event Code: 1000
Message: Application défaillante mcupdate.EXE, version 6.0.6001.18061, horodatage 0x480ea322, module défaillant KERNEL32.dll, version 6.0.6001.18000, horodatage 0x4791a76d, code d’exception 0xe0434f4d, décalage d’erreur 0x000442eb, ID du processus 0x11b4, heure de début de l’application 0x01c98c9d35807701.
Record Number: 67334
Source Name: Application Error
Time Written: 20090211230539.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3011
Message: Le déchargement des chaînes de compteurs de performances pour le service WmiApRpl (WmiApRpl) a échoué. Le premier DWORD de la section Data contient le code d'erreur.
Record Number: 67332
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 67331
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
Computer Name: CarolineGoulard
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 67330
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090211215158.000000-000
Event Type: Erreur
User:
=====Security event log=====
Computer Name: CarolineGoulard
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : CAROLINEGOULARD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Adresse du réseau : -
Port : -
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 88793
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164938.099562-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 5024
Message: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
Record Number: 88792
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164927.412062-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x29950
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 88791
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164927.349562-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 5033
Message: Le pilote du Pare-feu Windows est correctement démarré.
Record Number: 88790
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164926.990187-000
Event Type: Succès de l'audit
User:
Computer Name: CarolineGoulard
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 88789
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090722164926.740187-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6801
"NUMBER_OF_PROCESSORS"=2
"tvdumpflags"=8
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
-
-
ok
*Téléchargez Tools Cleaner 2 sur votre bureau.
--> https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
Double cliquez sur ToolsCleaner 2 pour l’exécuter. ( si vous êtes sous vista cliquez droit sur le fichier ToolsCleaner 2 et exécutez le en tant qu'administrateur )
*Cliquez sur Recherche et laissez la se dérouler
* Cliquez sur Suppression pour finaliser.
* Vous pouvez , si vous le souhaitez, vous servir des Options facultatives.
* Cliquez sur Quitter pour obtenir le rapport.
* Postez le rapport (TCleaner.txt) qui se trouve à la racine de votre disque dur (C:\) dans le forum où cela vous a été demandé.
ensuite pour voir si malwarebyte a bien viré le rootkit de départ colle un rapport avec GMER et/ou antivir
a plus-
voici le rapport tcleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\cleannavi.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Toolbar SD: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Users\boulanger\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\boulanger\Desktop\Navilog1.exe: trouvé !
C:\Users\boulanger\Desktop\ToolBarSD.exe: trouvé !
C:\Users\boulanger\Desktop\UsbFix.txt: trouvé !
C:\Users\boulanger\Desktop\Rsit.exe: trouvé !
C:\Users\boulanger\Downloads\Gmer.zip: trouvé !
C:\Users\boulanger\Downloads\UsbFix.exe: trouvé !
C:\Users\boulanger\Downloads\Rsit.exe: trouvé !
C:\Users\boulanger\Downloads\gmer\Gmer.exe: trouvé !
---------------------------------
--> Suppression:
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Users\boulanger\Desktop\Navilog1.exe: supprimé !
C:\Users\boulanger\Desktop\ToolBarSD.exe: supprimé !
C:\Users\boulanger\Downloads\Gmer.zip: supprimé !
C:\Users\boulanger\Downloads\gmer\Gmer.exe: supprimé !
C:\cleannavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Users\boulanger\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\boulanger\Desktop\UsbFix.txt: supprimé !
C:\Users\boulanger\Desktop\Rsit.exe: supprimé !
C:\Users\boulanger\Downloads\UsbFix.exe: supprimé !
C:\Users\boulanger\Downloads\Rsit.exe: supprimé !
C:\Toolbar SD: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Navilog1: supprimé !
Corbeille vidée!
Fichiers temporaires nettoyés !
-
-
ok si présent alors:
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau
sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau]
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix-
Ok, j'ai lu le tutoriel et ai relu attentivement votre dernière réponse
Je suis capable de désactiver mon antivirus (Antivir) et mon parefeu (Zone Alarm)
Deux questions avant de me lancer dans le téléchargement de combofix, pour être sûre de ne pas faire de bêtise:
1/je me rends compte que je n'ai pas de d'antispyware. Ou alors je ne suis pas au courant. Y'en a-t-il un automatiquement chez Windows Vista ? Est-ce gênant, faut-il que j'en télécharge un avant l'opération de téléchargement de combofix ?
2/Il y a t il quelque chose à désactiver dans Windows Defender avant de lancer le combofix, où ce n'est pas un antivirus ?
merci de votre patience.
-
-
Windows Defender est ton anti espion :)
-
il te suffit de le désactiver et tu peux faire combofix
-
voici le rapport combofix, tout s'est bien passé :)
verdict ?
ComboFix 10-01-11.01 - boulanger 11/01/2010 21:58:47.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1789.1010 [GMT 1:00]
Lancé depuis: c:\users\boulanger\Desktop\antibagle.exe
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\pdfforge Toolbar\SearchSettings.dll
c:\windows\Downloaded Program Files\Install.inf
c:\windows\system32\reboot.txt
D:\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-11 au 2010-01-11 ))))))))))))))))))))))))))))))))))))
.
2010-01-11 21:08 . 2010-01-11 21:08 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\users\boulanger\AppData\Roaming\Foxit
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\program files\Foxit Software
2010-01-11 12:27 . 2010-01-11 12:27 93056 ----a-w- C:\uglcapow.sys
2010-01-10 23:22 . 2010-01-10 23:22 -------- d-----w- c:\windows\Sun
2010-01-10 21:47 . 2010-01-11 18:50 -------- d-----w- c:\program files\trend micro
2010-01-10 18:42 . 2010-01-10 18:43 5115823 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-10 15:07 . 2010-01-10 15:07 -------- d-----w- c:\program files\VideoLAN
2010-01-03 10:43 . 2010-01-03 10:44 -------- d-----w- c:\program files\QuickTime
2009-12-18 08:21 . 2009-12-18 08:20 484976 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb983E.tmp.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 21:07 . 2009-03-07 09:27 -------- d-----w- c:\program files\pdfforge Toolbar
2010-01-11 19:51 . 2006-11-02 15:48 712898 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-11 19:51 . 2006-11-02 15:48 2079000 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-11 19:46 . 2008-11-19 11:23 352615 ---ha-w- c:\windows\system32\drivers\vsconfig.xml
2010-01-11 19:46 . 2009-08-15 07:23 -------- d-----w- c:\programdata\NOS
2010-01-11 15:20 . 2009-10-28 22:24 1 ----a-w- c:\users\boulanger\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-10 23:50 . 2010-01-11 08:36 39936 ----a-w- c:\windows\Internet Logs\xDB9EB1.tmp
2010-01-10 19:04 . 2010-01-10 19:02 32528094 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2010_01_10_19_54_31_full.dmp.zip
2010-01-10 18:55 . 2010-01-10 18:57 909824 ----a-w- c:\windows\Internet Logs\xDB2EBC.tmp
2010-01-10 18:43 . 2008-11-19 18:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-07 15:07 . 2008-11-19 18:21 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-11-19 18:21 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 21:32 . 2009-11-16 22:47 -------- d-----w- c:\users\boulanger\AppData\Roaming\Skype
2010-01-04 21:31 . 2008-12-19 10:01 -------- d-----w- c:\users\boulanger\AppData\Roaming\skypePM
2010-01-03 10:41 . 2007-08-31 20:48 -------- d-----w- c:\program files\Common Files\Apple
2009-12-31 09:25 . 2009-12-31 09:24 32542671 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_31_00_02_04_full.dmp.zip
2009-12-29 21:36 . 2009-12-29 21:38 126976 ----a-w- c:\windows\Internet Logs\xDB9867.tmp
2009-12-28 20:03 . 2009-12-28 20:05 601088 ----a-w- c:\windows\Internet Logs\xDB8C13.tmp
2009-12-22 07:41 . 2007-04-05 00:48 -------- d-----w- c:\programdata\Microsoft Help
2009-12-18 09:43 . 2007-09-03 15:37 -------- d-----w- c:\program files\Google
2009-12-10 17:47 . 2009-05-15 17:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 06:24 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-06 22:23 . 2008-12-21 19:42 8656891 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-12-06 01:07 . 2009-12-06 01:06 32529604 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_05_17_32_09_full.dmp.zip
2009-12-05 16:32 . 2009-12-06 01:01 1193472 ----a-w- c:\windows\Internet Logs\xDBA44E.tmp
2009-11-27 23:37 . 2009-11-27 22:09 -------- d-----w- c:\programdata\Skyline
2009-11-21 06:40 . 2009-12-09 17:35 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 17:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 17:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 17:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-18 17:26 . 2009-11-18 17:26 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 17:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----r- c:\program files\Skype
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----w- c:\program files\Common Files\Skype
2009-11-16 22:46 . 2007-09-03 15:37 -------- d-----w- c:\programdata\Skype
2009-11-10 19:39 . 2009-11-10 20:31 2085888 ----a-w- c:\windows\Internet Logs\xDB91B0.tmp
2009-11-09 12:31 . 2009-12-09 22:36 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-09 22:36 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-09 22:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-07 14:39 . 2007-08-24 15:49 103632 ----a-w- c:\users\boulanger\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-02 19:42 . 2009-10-02 21:41 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-11-01 11:32 . 2009-11-01 11:32 97 ----a-w- c:\users\boulanger\AppData\Local\fusioncache.dat
2009-11-01 10:58 . 2007-08-31 05:34 5058 ----a-w- c:\windows\Help\hhcolreg.dat
2009-10-29 09:17 . 2009-11-24 19:19 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-20 20:33 . 2009-10-20 20:35 2028544 ----a-w- c:\windows\Internet Logs\xDBBD35.tmp
2009-11-28 19:45 . 2009-11-28 19:45 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-01-30 14:12 650752 ----a-w- c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-07 39408]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-11-21 3297280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-12-08 614400]
"eDSMSNfix"="c:\acer\Empowering Technology\eDSMSNfix.exe" [2007-02-08 13312]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-01-17 151552]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2007-09-03 185632]
"BisonInst0402"="c:\windows\BR040286.exe" [2007-05-08 69632]
"LogitechCommunicationsManager"="c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
"AcerOrbicamRibbon"="c:\program files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
"LVCOMSX"="c:\program files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-28 244512]
"Acer OrbiCam"="c:\windows\AcerOrbiCam.exe" [2006-11-22 401408]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"WD Button Manager"="WDBtnMgr.exe" [2008-12-30 364544]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-06-16 68592]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-28 30192]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-4-5 528384]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll c:\windows\System32\eNetHook.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^Users^boulanger^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Podcast Receiver.lnk]
path=c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Podcast Receiver.lnk
backup=c:\windows\pss\Podcast Receiver.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):07,51,82,70,f7,41,ca,01
R0 SI3112r;ATI-4379 Serial ATA Controller;c:\windows\System32\drivers\SI3112r.sys [29/08/2007 04:04 116264]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/05/2009 18:05 108289]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [05/04/2007 02:01 50688]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\drivers\fbxusb32.sys [11/03/2008 13:42 21344]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [23/06/2008 09:44 21504]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [20/05/2009 23:57 30192]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/09/2008 11:44 28224]
S3 SMSCIRDA;SMSC Infrared Device Driver;c:\windows\System32\drivers\smscirda.sys [05/04/2007 09:33 31232]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [30/08/2007 20:14 80744]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - fwyia
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
2010-01-11 c:\windows\Tasks\User_Feed_Synchronization-{0F29B7E4-0C8C-4427-9EBC-461BA34B4AC5}.job
- c:\windows\system32\msfeedssync.exe [2009-12-09 04:59]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
FF - ProfilePath - c:\users\boulanger\AppData\Roaming\Mozilla\Firefox\Profiles\voe2kkgk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Acer Tour Reminder - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-11 22:08
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\fwyia]
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2ae3c6e8-14a6-4599-996e-d418cd53fa8d}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0a0016d4
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2d5ff8a2-eba4-4c66-b494-ce6d9fefdfef}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0f000000
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{484a004f-f195-4cc5-b52d-7effab472f78}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:130007cb
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{62075a51-80dc-4e5e-9d04-99fb40b03b40}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:090016ce
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{6b6f843c-9b84-42f2-a317-b8acf5515c15}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c000fb0
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9487eb50-1e9e-4845-b296-14a4f8b3ff75}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0f00197e
"Dhcpv6State"=dword:00000000
"Dhcpv6InterfaceOptions"=hex:02,00,00,00,00,00,00,00,0e,00,00,00,00,00,00,00,
ff,ff,ff,7f,00,01,00,01,10,4f,a1,6d,00,1b,9e,fb,2b,f5,00,00,17,00,00,00,00,\
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c1d4c765-baaf-48f7-a803-8a484176f311}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:15000000
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f7be0775-f2ce-453b-ad47-f85af2ecdeba}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:12020054
"Dhcpv6State"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\eNetHook.dll
- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\eNetHook.dll
.
Heure de fin: 2010-01-11 22:12:57
ComboFix-quarantined-files.txt 2010-01-11 21:12
Avant-CF: 16 301 133 824 octets libres
Après-CF: 16 384 798 720 octets libres
- - End Of File - - 43D6A43B2AE5A1FF8A8A1D7BBBF83910- ah, en fait je n'avais pas désactivé la garde en temps réel de windows defender avant de lancer combofix. je viens de m'en rendre compte, je n'avais désactivé que la mise à jour automatique. C'est grave ? il faut que je relance combofix ?
(dsl, je n'ai pas l'habitude, c'est mon premier gros virus...) - je ne sais pas si ça peut vous servir, mais j'ai fait une analyse rapide avec malaware suite au passage de combofix. fwyia été trouvé encore une fois, malaware l'a supprimé, mais il réapparait encore dans C:/windows/système32/drivers
voici le log pour info, j'attends vos consignes. je croise les doigts pour ne pas avoir épuisés vos idées :)
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3535
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
11/01/2010 23:22:25
mbam-log-2010-01-11 (23-22-25).txt
Type de recherche: Examen rapide
Eléments examinés: 102406
Temps écoulé: 6 minute(s), 54 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\fwyia.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
-
-
ok analyse ce fichier sur virus total et colle moi le rapport:https://www.virustotal.com/gui/
C:\uglcapow.sys
_______________
je me mets ceci de coté:
C:\Windows\system32\Drivers\fwyia.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
2010-01-11 21:07 . 2009-03-07 09:27 -------- d-----w- c:\program files\pdfforge Toolbar
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-01-30 14:12 650752 ----a-w- c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\fwyia]-
voila pour le rapport virustotal.com :
Fichier uglcapow.sys reçu le 2010.01.12 08:49:56 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.12 -
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.11 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.11 -
AVG 9.0.0.725 2010.01.11 -
BitDefender 7.2 2010.01.12 -
CAT-QuickHeal 10.00 2010.01.12 -
ClamAV 0.94.1 2010.01.12 -
Comodo 3554 2010.01.12 -
DrWeb 5.0.1.12222 2010.01.12 -
eSafe 7.0.17.0 2010.01.11 -
eTrust-Vet 35.2.7232 2010.01.12 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.12 -
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 -
Ikarus T3.1.1.80.0 2010.01.12 -
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 -
McAfee 5858 2010.01.11 -
McAfee+Artemis 5858 2010.01.11 -
McAfee-GW-Edition 6.8.5 2010.01.12 -
Microsoft 1.5302 2010.01.12 -
NOD32 4762 2010.01.11 -
Norman 6.04.03 2010.01.11 -
nProtect 2009.1.8.0 2010.01.12 -
Panda 10.0.2.2 2010.01.11 -
PCTools 7.0.3.5 2010.01.12 -
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 -
Sunbelt 3.2.1858.2 2010.01.12 -
Symantec 20091.2.0.41 2010.01.12 -
TheHacker 6.5.0.3.147 2010.01.12 -
TrendMicro 9.120.0.1004 2010.01.12 -
VBA32 3.12.12.1 2010.01.12 -
ViRobot 2010.1.12.2131 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.11 -
Information additionnelle
File size: 93056 bytes
MD5...: 54754317755d9e6a635d4f77483c6192
SHA1..: cfbfe041eb2a62ec64072cf8ccf5f2509068d4f6
SHA256: 876cf88b59424dc3273eb499916cf2a45cff48451c07b7930f5a44bcafd409b0
ssdeep: 1536:jLesFbh9KZibUCGQM4Ox5NqNgy+b93OWi/SNKchwW:feMHKZ9CGQvS5NnyE<br>eWi/SNFn<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x14405<br>timedatestamp.....: 0x4b274f8d (Tue Dec 15 08:57:49 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x480 0xd33c 0xd380 6.46 369881577d8a8e40662355b9a6a8f116<br>.rdata 0xd800 0x2954 0x2980 5.35 dab9288e45742bb2bb1371bbcae4edd9<br>.data 0x10180 0x4264 0x4280 0.33 3bd12180ea94dd764b9a94c27f1dbc98<br>INIT 0x14400 0x9fa 0xa00 5.59 b1437a6ac450e829cb8d3ade6642fbba<br>.rsrc 0x14e00 0x370 0x380 3.35 17802f95cc137d158e938e83ff42c7d8<br>.reloc 0x15180 0x19e4 0x1a00 6.44 ca9254ea63db79e98be17c626bee088c<br><br>( 2 imports ) <br>> ntoskrnl.exe: ExFreePoolWithTag, ExAllocatePoolWithTag, ZwReadFile, ZwQueryInformationFile, ZwOpenFile, _except_handler3, KeQuerySystemTime, PsLookupProcessByProcessId, ObfDereferenceObject, ObReferenceObjectByHandle, KeDetachProcess, KeAttachProcess, MmIsAddressValid, ZwSetInformationFile, RtlInitUnicodeString, ObOpenObjectByPointer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlUnicodeStringToAnsiString, PsTerminateSystemThread, PsCreateSystemThread, KeInitializeEvent, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, IoFreeIrp, KeGetCurrentThread, _wcsnicmp, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, ZwWriteFile, ZwCreateFile, strncmp, IoGetCurrentProcess, strncpy, _vsnprintf, PsGetCurrentProcessId, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, _stricmp, ZwQuerySystemInformation, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwClose, _snwprintf, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, wcslen, ZwEnumerateKey, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, KeInsertQueueDpc, KeSetTargetProcessorDpc, KeInitializeDpc, KeNumberProcessors, KeServiceDescriptorTable, MmMapLockedPagesSpecifyCache, _wcsicmp, wcsrchr, strchr, strstr, wcsncpy, IoCreateNotificationEvent, ZwQuerySection, wcscpy, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, MmMapLockedPages, MmGetSystemRoutineAddress, ObReferenceObjectByName, IoDriverObjectType, ZwDeleteFile, KeTickCount, NtClose, IofCallDriver, RtlCompareUnicodeString, IoBuildSynchronousFsdRequest, _alldiv, KeSetEvent, KeWaitForSingleObject, ZwSetValueKey, KeClearEvent<br>> HAL.dll: KfLowerIrql, KeGetCurrentIrql, KfRaiseIrql<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
packers (Kaspersky): PE_Patch
sigcheck:<br>publisher....: GMER<br>copyright....: Copyright (C) GMER 2003-2009<br>product......: GMER<br>description..: GMER Driver http://www.gmer.net<br>original name: gmer.sys<br>internal name: gmer.sys<br>file version.: 1, 0, 15, 4809 built by: WinDDK<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
pdfid.: -
trid..: Win32 Executable Generic (51.1%)<br>Win16/32 Executable Delphi generic (12.4%)<br>Clipper DOS Executable (12.1%)<br>Generic Win/DOS Executable (12.0%)<br>DOS Executable Generic (12.0%)
Antivirus;Version;Dernière mise à jour;Résultat
a-squared;4.5.0.48;2010.01.12;-
AhnLab-V3;5.0.0.2;2010.01.12;-
AntiVir;7.9.1.134;2010.01.11;-
Antiy-AVL;2.0.3.7;2010.01.12;-
Authentium;5.2.0.5;2010.01.12;-
Avast;4.8.1351.0;2010.01.11;-
AVG;9.0.0.725;2010.01.11;-
BitDefender;7.2;2010.01.12;-
CAT-QuickHeal;10.00;2010.01.12;-
ClamAV;0.94.1;2010.01.12;-
Comodo;3554;2010.01.12;-
DrWeb;5.0.1.12222;2010.01.12;-
eSafe;7.0.17.0;2010.01.11;-
eTrust-Vet;35.2.7232;2010.01.12;-
F-Prot;4.5.1.85;2010.01.12;-
F-Secure;9.0.15370.0;2010.01.12;-
Fortinet;4.0.14.0;2010.01.12;-
GData;19;2010.01.12;-
Ikarus;T3.1.1.80.0;2010.01.12;-
Jiangmin;13.0.900;2010.01.12;-
K7AntiVirus;7.10.944;2010.01.11;-
Kaspersky;7.0.0.125;2010.01.12;-
McAfee;5858;2010.01.11;-
McAfee+Artemis;5858;2010.01.11;-
McAfee-GW-Edition;6.8.5;2010.01.12;-
Microsoft;1.5302;2010.01.12;-
NOD32;4762;2010.01.11;-
Norman;6.04.03;2010.01.11;-
nProtect;2009.1.8.0;2010.01.12;-
Panda;10.0.2.2;2010.01.11;-
PCTools;7.0.3.5;2010.01.12;-
Prevx;3.0;2010.01.12;-
Rising;22.30.01.03;2010.01.12;-
Sophos;4.49.0;2010.01.12;-
Sunbelt;3.2.1858.2;2010.01.12;-
Symantec;20091.2.0.41;2010.01.12;-
TheHacker;6.5.0.3.147;2010.01.12;-
TrendMicro;9.120.0.1004;2010.01.12;-
VBA32;3.12.12.1;2010.01.12;-
ViRobot;2010.1.12.2131;2010.01.12;-
VirusBuster;5.0.21.0;2010.01.11;-
Information additionnelle
File size: 93056 bytes
MD5...: 54754317755d9e6a635d4f77483c6192
SHA1..: cfbfe041eb2a62ec64072cf8ccf5f2509068d4f6
SHA256: 876cf88b59424dc3273eb499916cf2a45cff48451c07b7930f5a44bcafd409b0
ssdeep: 1536:jLesFbh9KZibUCGQM4Ox5NqNgy+b93OWi/SNKchwW:feMHKZ9CGQvS5NnyE<br>eWi/SNFn<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x14405<br>timedatestamp.....: 0x4b274f8d (Tue Dec 15 08:57:49 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x480 0xd33c 0xd380 6.46 369881577d8a8e40662355b9a6a8f116<br>.rdata 0xd800 0x2954 0x2980 5.35 dab9288e45742bb2bb1371bbcae4edd9<br>.data 0x10180 0x4264 0x4280 0.33 3bd12180ea94dd764b9a94c27f1dbc98<br>INIT 0x14400 0x9fa 0xa00 5.59 b1437a6ac450e829cb8d3ade6642fbba<br>.rsrc 0x14e00 0x370 0x380 3.35 17802f95cc137d158e938e83ff42c7d8<br>.reloc 0x15180 0x19e4 0x1a00 6.44 ca9254ea63db79e98be17c626bee088c<br><br>( 2 imports ) <br>> ntoskrnl.exe: ExFreePoolWithTag, ExAllocatePoolWithTag, ZwReadFile, ZwQueryInformationFile, ZwOpenFile, _except_handler3, KeQuerySystemTime, PsLookupProcessByProcessId, ObfDereferenceObject, ObReferenceObjectByHandle, KeDetachProcess, KeAttachProcess, MmIsAddressValid, ZwSetInformationFile, RtlInitUnicodeString, ObOpenObjectByPointer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlUnicodeStringToAnsiString, PsTerminateSystemThread, PsCreateSystemThread, KeInitializeEvent, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, IoFreeIrp, KeGetCurrentThread, _wcsnicmp, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, ZwWriteFile, ZwCreateFile, strncmp, IoGetCurrentProcess, strncpy, _vsnprintf, PsGetCurrentProcessId, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, _stricmp, ZwQuerySystemInformation, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwClose, _snwprintf, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, wcslen, ZwEnumerateKey, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, KeInsertQueueDpc, KeSetTargetProcessorDpc, KeInitializeDpc, KeNumberProcessors, KeServiceDescriptorTable, MmMapLockedPagesSpecifyCache, _wcsicmp, wcsrchr, strchr, strstr, wcsncpy, IoCreateNotificationEvent, ZwQuerySection, wcscpy, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, MmMapLockedPages, MmGetSystemRoutineAddress, ObReferenceObjectByName, IoDriverObjectType, ZwDeleteFile, KeTickCount, NtClose, IofCallDriver, RtlCompareUnicodeString, IoBuildSynchronousFsdRequest, _alldiv, KeSetEvent, KeWaitForSingleObject, ZwSetValueKey, KeClearEvent<br>> HAL.dll: KfLowerIrql, KeGetCurrentIrql, KfRaiseIrql<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
packers (Kaspersky): PE_Patch
sigcheck:<br>publisher....: GMER<br>copyright....: Copyright (C) GMER 2003-2009<br>product......: GMER<br>description..: GMER Driver http://www.gmer.net<br>original name: gmer.sys<br>internal name: gmer.sys<br>file version.: 1, 0, 15, 4809 built by: WinDDK<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
pdfid.: -
trid..: Win32 Executable Generic (51.1%)<br>Win16/32 Executable Delphi generic (12.4%)<br>Clipper DOS Executable (12.1%)<br>Generic Win/DOS Executable (12.0%)<br>DOS Executable Generic (12.0%)
-
-
Pour fusionner:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_______________
telecharge combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
_________________
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Service::
fwyia
File::
C:\Windows\system32\Drivers\fwyia.sys
c:\program files\pdfforge Toolbar
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\fwyia]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt-
voici le rapport. par contre, je suis dsl, mais je n'avais pas reconnu que c'était le même programme que celui qu'on avait appelé hier "antibagle", du coup, je n'avais pas désactivé anvir ni le firewall... est-ce que ça a pu gêné au bon déroulement du processus ? faut-il que je recommence en désactivant tout ça ?
ComboFix 10-01-11.03 - boulanger 12/01/2010 10:09:42.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1789.898 [GMT 1:00]
Lancé depuis: c:\users\boulanger\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\boulanger\Desktop\CFscript.txt
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\program files\pdfforge Toolbar"
"c:\windows\system32\Drivers\fwyia.sys"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Drivers\fwyia.sys . . . . impossible à supprimer
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_fwyia
-------\Service_fwyia
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-12 au 2010-01-12 ))))))))))))))))))))))))))))))))))))
.
2010-01-12 09:23 . 2010-01-12 09:23 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-11 20:57 . 2010-01-11 21:13 -------- d-----w- C:\antibagle
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\users\boulanger\AppData\Roaming\Foxit
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\program files\Foxit Software
2010-01-11 12:27 . 2010-01-11 12:27 93056 ----a-w- C:\uglcapow.sys
2010-01-10 23:22 . 2010-01-10 23:22 -------- d-----w- c:\windows\Sun
2010-01-10 21:47 . 2010-01-11 18:50 -------- d-----w- c:\program files\trend micro
2010-01-10 15:07 . 2010-01-10 15:07 -------- d-----w- c:\program files\VideoLAN
2010-01-09 17:01 . 2010-01-12 09:26 763904 ----a-w- c:\windows\system32\drivers\fwyia.sys
2010-01-03 10:43 . 2010-01-03 10:44 -------- d-----w- c:\program files\QuickTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-12 09:25 . 2008-11-19 11:23 352615 ---ha-w- c:\windows\system32\drivers\vsconfig.xml
2010-01-12 08:44 . 2009-10-28 22:24 1 ----a-w- c:\users\boulanger\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-12 08:39 . 2006-11-02 15:48 734010 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-12 08:39 . 2006-11-02 15:48 2140104 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-11 21:07 . 2009-03-07 09:27 -------- d-----w- c:\program files\pdfforge Toolbar
2010-01-11 19:46 . 2009-08-15 07:23 -------- d-----w- c:\programdata\NOS
2010-01-10 23:50 . 2010-01-11 08:36 39936 ----a-w- c:\windows\Internet Logs\xDB9EB1.tmp
2010-01-10 19:04 . 2010-01-10 19:02 32528094 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2010_01_10_19_54_31_full.dmp.zip
2010-01-10 18:55 . 2010-01-10 18:57 909824 ----a-w- c:\windows\Internet Logs\xDB2EBC.tmp
2010-01-10 18:43 . 2008-11-19 18:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-10 18:43 . 2010-01-10 18:42 5115823 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-07 15:07 . 2008-11-19 18:21 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-11-19 18:21 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 21:32 . 2009-11-16 22:47 -------- d-----w- c:\users\boulanger\AppData\Roaming\Skype
2010-01-04 21:31 . 2008-12-19 10:01 -------- d-----w- c:\users\boulanger\AppData\Roaming\skypePM
2010-01-03 10:41 . 2007-08-31 20:48 -------- d-----w- c:\program files\Common Files\Apple
2009-12-31 09:25 . 2009-12-31 09:24 32542671 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_31_00_02_04_full.dmp.zip
2009-12-29 21:36 . 2009-12-29 21:38 126976 ----a-w- c:\windows\Internet Logs\xDB9867.tmp
2009-12-28 20:03 . 2009-12-28 20:05 601088 ----a-w- c:\windows\Internet Logs\xDB8C13.tmp
2009-12-22 07:41 . 2007-04-05 00:48 -------- d-----w- c:\programdata\Microsoft Help
2009-12-18 09:43 . 2007-09-03 15:37 -------- d-----w- c:\program files\Google
2009-12-18 08:20 . 2009-12-18 08:21 484976 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb983E.tmp.exe
2009-12-10 17:47 . 2009-05-15 17:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 06:24 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-06 22:23 . 2008-12-21 19:42 8656891 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-12-06 01:07 . 2009-12-06 01:06 32529604 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_05_17_32_09_full.dmp.zip
2009-12-05 16:32 . 2009-12-06 01:01 1193472 ----a-w- c:\windows\Internet Logs\xDBA44E.tmp
2009-11-27 23:37 . 2009-11-27 22:09 -------- d-----w- c:\programdata\Skyline
2009-11-21 06:40 . 2009-12-09 17:35 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 17:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 17:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 17:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-18 17:26 . 2009-11-18 17:26 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 17:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----r- c:\program files\Skype
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----w- c:\program files\Common Files\Skype
2009-11-16 22:46 . 2007-09-03 15:37 -------- d-----w- c:\programdata\Skype
2009-11-10 19:39 . 2009-11-10 20:31 2085888 ----a-w- c:\windows\Internet Logs\xDB91B0.tmp
2009-11-09 12:31 . 2009-12-09 22:36 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-09 22:36 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-09 22:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-07 14:39 . 2007-08-24 15:49 103632 ----a-w- c:\users\boulanger\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-02 19:42 . 2009-10-02 21:41 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-11-01 11:32 . 2009-11-01 11:32 97 ----a-w- c:\users\boulanger\AppData\Local\fusioncache.dat
2009-11-01 10:58 . 2007-08-31 05:34 5058 ----a-w- c:\windows\Help\hhcolreg.dat
2009-10-29 09:17 . 2009-11-24 19:19 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-20 20:33 . 2009-10-20 20:35 2028544 ----a-w- c:\windows\Internet Logs\xDBBD35.tmp
2009-11-28 19:45 . 2009-11-28 19:45 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-07 39408]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-11-21 3297280]
"Acer Tour Reminder"="" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-12-08 614400]
"eDSMSNfix"="c:\acer\Empowering Technology\eDSMSNfix.exe" [2007-02-08 13312]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-01-17 151552]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2007-09-03 185632]
"BisonInst0402"="c:\windows\BR040286.exe" [2007-05-08 69632]
"LogitechCommunicationsManager"="c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
"AcerOrbicamRibbon"="c:\program files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
"LVCOMSX"="c:\program files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-28 244512]
"Acer OrbiCam"="c:\windows\AcerOrbiCam.exe" [2006-11-22 401408]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"WD Button Manager"="WDBtnMgr.exe" [2008-12-30 364544]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-06-16 68592]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-28 30192]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-4-5 528384]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll c:\windows\System32\eNetHook.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^Users^boulanger^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Podcast Receiver.lnk]
path=c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Podcast Receiver.lnk
backup=c:\windows\pss\Podcast Receiver.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):07,51,82,70,f7,41,ca,01
R0 SI3112r;ATI-4379 Serial ATA Controller;c:\windows\System32\drivers\SI3112r.sys [29/08/2007 04:04 116264]
R2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [05/04/2007 02:01 50688]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/05/2009 18:05 108289]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\drivers\fbxusb32.sys [11/03/2008 13:42 21344]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [23/06/2008 09:44 21504]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [20/05/2009 23:57 30192]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/09/2008 11:44 28224]
S3 SMSCIRDA;SMSC Infrared Device Driver;c:\windows\System32\drivers\smscirda.sys [05/04/2007 09:33 31232]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [30/08/2007 20:14 80744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
2010-01-12 c:\windows\Tasks\User_Feed_Synchronization-{0F29B7E4-0C8C-4427-9EBC-461BA34B4AC5}.job
- c:\windows\system32\msfeedssync.exe [2009-12-09 04:59]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
FF - ProfilePath - c:\users\boulanger\AppData\Roaming\Mozilla\Firefox\Profiles\voe2kkgk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 10:27
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.exe'(5296)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\acer\Empowering Technology\EPOWER\SysHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\Launch Manager\LManager.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\ehome\ehmsas.exe
c:\acer\Empowering Technology\ENET\ENMTRAY.EXE
c:\acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-01-12 10:36:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-12 09:36
ComboFix2.txt 2010-01-11 21:12
Avant-CF: 15 710 547 968 octets libres
Après-CF: 15 563 943 936 octets libres
- - End Of File - - F869ABDA2625042054999B50E1D70B97
-
-
ok tenace
fais ceci
Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
→ Enregistre-le sur ton bureau
→ Lancer 'OAD.exe' en faisant un double clique sur le fichier
→ Saisir la valeur recherchée -> ' fwyia ' ( fait un copier/coller )
→ Type de recherche : sélectionner l'option 6 puis valide [entrée]
→ OAD va maintenant rechercher le fichier.
→ Laisse-le travailler jusqu'à ce qu'il en ait terminé.
→ Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
------------- Patienter. --------------
→ Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
→ Faire un copier/coller de ce rapport dans ton prochain post.
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore-
Pas concluant : fichier non trouvé, d'après ce qui était écrit sur l'écran bleu, mais impossible de générer le rapport, un fichier bloc note s'ouvre mais il n'y a rien dedans + message d'erreur : "impossible de trouver le fichier C:/résultats".
(pour info, le CTRL+V / CTRL+C ne marchait pas une fois dans l'écran bleu, du coup j'ai recopié moi même le nom du fichier, j'ai essayé une fois en tapant fwyia et une autre fois en tapant 'fwyia')
j'attends la suite de vos instructions
-
-
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver ::
fwyia
File::
C:\Windows\system32\Drivers\fwyia.sys
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
puis
Télécharge SF.exe de C_XX
http://pagesperso-orange.fr/NosTools/C_XX/SF.exe
Double-clique sur le fichier SF.exe.
Dans la fenêtre DOS tape fwyia
Valide par Entrer.
Le scan prendra quelques minutes et un fichier texte va s'ouvrir que tu postes par copier-coller.
Tu refermes le fichier et l'outil.-
du nouveau :
1-Alerte inopinée de Antivir qui me dit qu'il a trouvé un fichier infecté "fwyia". Je clique "supprimer". pas de message d'erreur
2-je vais voir, et je ne vois plus le fichier fwyia dans C:/windows/system32/drivers.
3-je ré-ouvre GMER, pas de ligne rouge. mais je n'ai pas lancé de scan
4-scan rapide avec malware : pas de pb, je poste à la suite le rapport
bon, j'ai besoin de mon ordinateur pour une réunion de travail tout l'après-midi, donc je n'avance pas avant ce soir. Ce que je vais faire : refaire un scan complet avec mon antivir ; puis faire un scan complet avec malware, puis avec gmer, puis rsit. je poste tout ça et on avise
sauf si l'un de ces rapports m'indique la présence du fichier infecté, alors lors je suis les consignes de votre dernière réponse
à+
dernier rapport malware Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3535
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
12/01/2010 12:59:17
mbam-log-2010-01-12 (12-59-17).txt
Type de recherche: Examen rapide
Eléments examinés: 102469
Temps écoulé: 8 minute(s), 1 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
-
-
ok refais après démarrage pour voir si c'est present
-
-
pour SF.exe le nom a changé en SEAF ici
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe-
voici le rapport du scan antivir.
j'ai l'impression que le fichier fwyia a été compressé (.zip) et se trouve toujours dans le même dossier mais je ne le vois pas
est-ce que c'est mauvais signe ?
je reprends vos consignes du n°34
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 12 janvier 2010 17:42
La recherche porte sur 1515470 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : CAROLINEGOULARD
Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:16:15
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:16:14
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:16:14
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 20:16:14
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 20:16:14
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 20:16:14
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 20:16:14
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 20:16:14
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 20:16:14
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 20:16:14
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 20:16:14
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 20:16:14
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 20:16:14
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 20:16:14
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:10:45
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 19:41:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 17:37:11
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 17:36:36
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 20:53:15
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 19:53:27
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:41:30
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 09:51:38
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 19:18:14
VBASE022.VDF : 7.10.2.132 192000 Bytes 07/01/2010 16:42:03
VBASE023.VDF : 7.10.2.133 2048 Bytes 07/01/2010 16:42:03
VBASE024.VDF : 7.10.2.134 2048 Bytes 07/01/2010 16:42:03
VBASE025.VDF : 7.10.2.135 2048 Bytes 07/01/2010 16:42:03
VBASE026.VDF : 7.10.2.136 2048 Bytes 07/01/2010 16:42:03
VBASE027.VDF : 7.10.2.137 2048 Bytes 07/01/2010 16:42:03
VBASE028.VDF : 7.10.2.138 2048 Bytes 07/01/2010 16:42:03
VBASE029.VDF : 7.10.2.139 2048 Bytes 07/01/2010 16:42:03
VBASE030.VDF : 7.10.2.140 2048 Bytes 07/01/2010 16:42:04
VBASE031.VDF : 7.10.2.155 126976 Bytes 11/01/2010 16:42:04
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 18:18:48
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04/01/2010 17:44:30
AESCN.DLL : 8.1.3.0 127348 Bytes 10/12/2009 17:47:13
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 20:16:15
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 19:41:56
AEPACK.DLL : 8.2.0.4 422263 Bytes 04/01/2010 17:44:22
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 08:44:48
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 08/01/2010 19:18:17
AEHELP.DLL : 8.1.9.0 237943 Bytes 16/12/2009 20:53:17
AEGEN.DLL : 8.1.1.83 369014 Bytes 04/01/2010 17:43:35
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 22:22:48
AECORE.DLL : 8.1.9.1 180598 Bytes 10/12/2009 17:47:13
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 19:36:11
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 19:01:16
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:16:14
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +GAME,+JOKE,+PCK,+SPR,
Début de la recherche : mardi 12 janvier 2010 17:42
La recherche d'objets cachés commence.
'102735' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePower_DMC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpohmr08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'googletalk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rainlendar2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleQuickSearchBox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerOrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BR040286.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSMSNfix.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'86' processus ont été contrôlés avec '86' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_fwyia_.sys.zip
[0] Type d'archive: ZIP
--> fwyia.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
--> fwyia.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
Recherche débutant dans 'D:\' <DATA>
Début de la désinfection :
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_fwyia_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc3be57.qua' !
Fin de la recherche : mardi 12 janvier 2010 19:22
Temps nécessaire: 1:40:14 Heure(s)
La recherche a été effectuée intégralement
25631 Les répertoires ont été contrôlés
497407 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
497403 Fichiers non infectés
3178 Les archives ont été contrôlées
2 Avertissements
3 Consignes
102735 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
-
-
ok vire le fichier quarantine aussi en suivant le lien
C:\Qoobox\Quarantine
et vidange ce qui est dans les quarantaine de malwarebyte et antivir
a plus-
J'ai supprimé ce qu'il y avait dans les fichiers de C:\Qoobox\Quarantine (sauf ce qu'il y a dans le fichier "backups", dans le doute)
+ j'ai vidé la quarantaine antivir
et la quarantaine de malware était déjà vide
+ j'ai vidé la corbeille
voici le rapport de combofix. je passe à l'étape suivante du n°34
ComboFix 10-01-11.03 - boulanger 12/01/2010 19:38:50.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1789.970 [GMT 1:00]
Lancé depuis: c:\users\boulanger\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\boulanger\Desktop\CFscript.txt
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
FILE ::
"c:\windows\system32\Drivers\fwyia.sys"
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-12 au 2010-01-12 ))))))))))))))))))))))))))))))))))))
.
2010-01-12 18:47 . 2010-01-12 18:47 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-12 18:47 . 2010-01-12 18:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-11 20:57 . 2010-01-11 21:13 -------- d-----w- C:\antibagle
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\users\boulanger\AppData\Roaming\Foxit
2010-01-11 18:27 . 2010-01-11 18:27 -------- d-----w- c:\program files\Foxit Software
2010-01-11 12:27 . 2010-01-11 12:27 93056 ----a-w- C:\uglcapow.sys
2010-01-10 23:22 . 2010-01-10 23:22 -------- d-----w- c:\windows\Sun
2010-01-10 21:47 . 2010-01-11 18:50 -------- d-----w- c:\program files\trend micro
2010-01-10 18:42 . 2010-01-10 18:43 5115823 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-10 15:07 . 2010-01-10 15:07 -------- d-----w- c:\program files\VideoLAN
2010-01-03 10:43 . 2010-01-03 10:44 -------- d-----w- c:\program files\QuickTime
2009-12-18 08:21 . 2009-12-18 08:20 484976 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb983E.tmp.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-12 18:30 . 2006-11-02 15:48 760400 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-12 18:30 . 2006-11-02 15:48 2216484 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-12 12:39 . 2009-10-28 22:24 1 ----a-w- c:\users\boulanger\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-12 12:11 . 2008-11-19 11:23 352615 ---ha-w- c:\windows\system32\drivers\vsconfig.xml
2010-01-11 21:07 . 2009-03-07 09:27 -------- d-----w- c:\program files\pdfforge Toolbar
2010-01-11 19:46 . 2009-08-15 07:23 -------- d-----w- c:\programdata\NOS
2010-01-10 23:50 . 2010-01-11 08:36 39936 ----a-w- c:\windows\Internet Logs\xDB9EB1.tmp
2010-01-10 19:04 . 2010-01-10 19:02 32528094 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2010_01_10_19_54_31_full.dmp.zip
2010-01-10 18:55 . 2010-01-10 18:57 909824 ----a-w- c:\windows\Internet Logs\xDB2EBC.tmp
2010-01-10 18:43 . 2008-11-19 18:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-07 15:07 . 2008-11-19 18:21 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-11-19 18:21 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 21:32 . 2009-11-16 22:47 -------- d-----w- c:\users\boulanger\AppData\Roaming\Skype
2010-01-04 21:31 . 2008-12-19 10:01 -------- d-----w- c:\users\boulanger\AppData\Roaming\skypePM
2010-01-03 10:41 . 2007-08-31 20:48 -------- d-----w- c:\program files\Common Files\Apple
2009-12-31 09:25 . 2009-12-31 09:24 32542671 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_31_00_02_04_full.dmp.zip
2009-12-29 21:36 . 2009-12-29 21:38 126976 ----a-w- c:\windows\Internet Logs\xDB9867.tmp
2009-12-28 20:03 . 2009-12-28 20:05 601088 ----a-w- c:\windows\Internet Logs\xDB8C13.tmp
2009-12-22 07:41 . 2007-04-05 00:48 -------- d-----w- c:\programdata\Microsoft Help
2009-12-18 09:43 . 2007-09-03 15:37 -------- d-----w- c:\program files\Google
2009-12-10 17:47 . 2009-05-15 17:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 06:24 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-06 22:23 . 2008-12-21 19:42 8656891 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-12-06 01:07 . 2009-12-06 01:06 32529604 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2009_12_05_17_32_09_full.dmp.zip
2009-12-05 16:32 . 2009-12-06 01:01 1193472 ----a-w- c:\windows\Internet Logs\xDBA44E.tmp
2009-11-27 23:37 . 2009-11-27 22:09 -------- d-----w- c:\programdata\Skyline
2009-11-21 06:40 . 2009-12-09 17:35 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 17:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 17:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 17:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-18 17:26 . 2009-11-18 17:26 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 17:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2009-11-18 17:21 . 2009-11-18 17:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----r- c:\program files\Skype
2009-11-16 22:46 . 2009-11-16 22:46 -------- d-----w- c:\program files\Common Files\Skype
2009-11-16 22:46 . 2007-09-03 15:37 -------- d-----w- c:\programdata\Skype
2009-11-10 19:39 . 2009-11-10 20:31 2085888 ----a-w- c:\windows\Internet Logs\xDB91B0.tmp
2009-11-09 12:31 . 2009-12-09 22:36 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-09 22:36 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-09 22:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-07 14:39 . 2007-08-24 15:49 103632 ----a-w- c:\users\boulanger\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-02 19:42 . 2009-10-02 21:41 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-11-01 11:32 . 2009-11-01 11:32 97 ----a-w- c:\users\boulanger\AppData\Local\fusioncache.dat
2009-11-01 10:58 . 2007-08-31 05:34 5058 ----a-w- c:\windows\Help\hhcolreg.dat
2009-10-29 09:17 . 2009-11-24 19:19 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-20 20:33 . 2009-10-20 20:35 2028544 ----a-w- c:\windows\Internet Logs\xDBBD35.tmp
2009-11-28 19:45 . 2009-11-28 19:45 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-07 39408]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-11-21 3297280]
"Acer Tour Reminder"="" [BU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-12-08 614400]
"eDSMSNfix"="c:\acer\Empowering Technology\eDSMSNfix.exe" [2007-02-08 13312]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-01-17 151552]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2007-09-03 185632]
"BisonInst0402"="c:\windows\BR040286.exe" [2007-05-08 69632]
"LogitechCommunicationsManager"="c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
"AcerOrbicamRibbon"="c:\program files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
"LVCOMSX"="c:\program files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-28 244512]
"Acer OrbiCam"="c:\windows\AcerOrbiCam.exe" [2006-11-22 401408]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"WD Button Manager"="WDBtnMgr.exe" [2008-12-30 364544]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-06-16 68592]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-28 30192]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-4-5 528384]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll c:\windows\System32\eNetHook.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\startupfolder\C:^Users^boulanger^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Podcast Receiver.lnk]
path=c:\users\boulanger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Podcast Receiver.lnk
backup=c:\windows\pss\Podcast Receiver.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):07,51,82,70,f7,41,ca,01
R0 SI3112r;ATI-4379 Serial ATA Controller;c:\windows\System32\drivers\SI3112r.sys [29/08/2007 04:04 116264]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/05/2009 18:05 108289]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [05/04/2007 02:01 50688]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\drivers\fbxusb32.sys [11/03/2008 13:42 21344]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [23/06/2008 09:44 21504]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [20/05/2009 23:57 30192]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/09/2008 11:44 28224]
S3 SMSCIRDA;SMSC Infrared Device Driver;c:\windows\System32\drivers\smscirda.sys [05/04/2007 09:33 31232]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [30/08/2007 20:14 80744]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
2010-01-12 c:\windows\Tasks\User_Feed_Synchronization-{0F29B7E4-0C8C-4427-9EBC-461BA34B4AC5}.job
- c:\windows\system32\msfeedssync.exe [2009-12-09 04:59]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
FF - ProfilePath - c:\users\boulanger\AppData\Roaming\Mozilla\Firefox\Profiles\voe2kkgk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 19:47
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.exe'(5160)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\acer\Empowering Technology\EPOWER\SysHook.dll
.
Heure de fin: 2010-01-12 19:50:50
ComboFix-quarantined-files.txt 2010-01-12 18:50
ComboFix2.txt 2010-01-12 09:36
ComboFix3.txt 2010-01-11 21:12
Avant-CF: 15 234 256 896 octets libres
Après-CF: 15 219 998 720 octets libres
- - End Of File - - A34307A2118B99B3C376A728ACD84525- voici le rapport seaflog
quoi de neuf ?
1. ========================= SEAF 1.0.0.6 - C_XX | 20:20:34,44
2.
3. Valeur(s) recherchée(s):
4.
5. fwyia
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. Aucun fichier/Dossier trouvé.
11.
12. ========================= Registre:
13.
14. Aucun élément du registre trouvé.
15.
16. ========================= E.O.F | 20:28:15,72
-
-
*Téléchargez Tools Cleaner 2 sur votre bureau.
--> https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
Double cliquez sur ToolsCleaner 2 pour l’exécuter. ( si vous êtes sous vista cliquez droit sur le fichier ToolsCleaner 2 et exécutez le en tant qu'administrateur )
*Cliquez sur Recherche et laissez la se dérouler
* Cliquez sur Suppression pour finaliser.
* Vous pouvez , si vous le souhaitez, vous servir des Options facultatives.
* Cliquez sur Quitter pour obtenir le rapport.
* Postez le rapport (TCleaner.txt) qui se trouve à la racine de votre disque dur (C:\) dans le forum où cela vous a été demandé.
____________________
Désactive ta restauration système puis redémarre ton ordi puis réactive là comme ceci:
https://www.informatruc.com
_______________________
encore des soucis?????-
Voici déjà le rapport Tool cleaner 2
je fais l'étape suivante
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\boulanger\Desktop\ComboFix.exe: trouvé !
C:\Users\boulanger\Desktop\OAD.exe: trouvé !
C:\Users\boulanger\Downloads\Gmer.zip: trouvé !
C:\Users\boulanger\Downloads\gmer\Gmer.exe: trouvé !
C:\Windows\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Users\boulanger\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\boulanger\Downloads\Gmer.zip: supprimé !
C:\Users\boulanger\Downloads\gmer\Gmer.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\boulanger\Desktop\OAD.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !- Bonne nouvelle: antivir n'a rien trouvé. le rapport est ci-dessous.
je lance un scan rapide de malware (et demain matin un scan approfondi avec mon disque dur externe et clé usb)
Avez-vous une idée de comment ce rootkit était arrivé sur mon PC ? avez-vous un conseil à me donner pour que ça ne se reproduise plus ?
J'ai lu sur vos forum que Avira Antivir était un bon antivirus. Zone Alarme est-il bien aussi comme firewall ? Dois-je télécharger un antispyware autre que Windows Defender ?
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 12 janvier 2010 22:30
La recherche porte sur 1524286 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : CAROLINEGOULARD
Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:16:15
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:16:14
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:16:14
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 20:16:14
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 20:16:14
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 20:16:14
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 20:16:14
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 20:16:14
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 20:16:14
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 20:16:14
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 20:16:14
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 20:16:14
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 20:16:14
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 20:16:14
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:10:45
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 19:41:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 17:37:11
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 17:36:36
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 20:53:15
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 19:53:27
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:41:30
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 09:51:38
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 19:18:14
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 16:42:03
VBASE023.VDF : 7.10.2.159 2048 Bytes 11/01/2010 16:42:03
VBASE024.VDF : 7.10.2.160 2048 Bytes 11/01/2010 16:42:03
VBASE025.VDF : 7.10.2.161 2048 Bytes 11/01/2010 16:42:03
VBASE026.VDF : 7.10.2.162 2048 Bytes 11/01/2010 16:42:03
VBASE027.VDF : 7.10.2.163 2048 Bytes 11/01/2010 16:42:03
VBASE028.VDF : 7.10.2.164 2048 Bytes 11/01/2010 16:42:03
VBASE029.VDF : 7.10.2.165 2048 Bytes 11/01/2010 16:42:03
VBASE030.VDF : 7.10.2.166 2048 Bytes 11/01/2010 16:42:04
VBASE031.VDF : 7.10.2.174 126976 Bytes 12/01/2010 16:42:04
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 18:18:48
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04/01/2010 17:44:30
AESCN.DLL : 8.1.3.0 127348 Bytes 10/12/2009 17:47:13
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 20:16:15
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 19:41:56
AEPACK.DLL : 8.2.0.4 422263 Bytes 04/01/2010 17:44:22
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 08:44:48
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 08/01/2010 19:18:17
AEHELP.DLL : 8.1.9.0 237943 Bytes 16/12/2009 20:53:17
AEGEN.DLL : 8.1.1.83 369014 Bytes 04/01/2010 17:43:35
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 22:22:48
AECORE.DLL : 8.1.9.1 180598 Bytes 10/12/2009 17:47:13
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 19:36:11
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 19:01:16
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:16:14
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +GAME,+JOKE,+PCK,+SPR,
Début de la recherche : mardi 12 janvier 2010 22:30
La recherche d'objets cachés commence.
'102940' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés
Processus de recherche 'ePower_DMC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpohmr08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'googletalk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rainlendar2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleQuickSearchBox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerOrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OrbiCam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BR040286.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSMSNfix.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'87' processus ont été contrôlés avec '87' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'D:\' <DATA>
Fin de la recherche : mercredi 13 janvier 2010 00:04
Temps nécessaire: 1:34:12 Heure(s)
La recherche a été effectuée intégralement
25628 Les répertoires ont été contrôlés
497615 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
497613 Fichiers non infectés
3221 Les archives ont été contrôlées
2 Avertissements
2 Consignes
102940 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés - re bonne nouvelle : malware (en scan rapide) n'a rien trouvé non plus. le rapport est ci dessous.
si je peux faire quelque chose pour améliorer la sécurité de mon PC, je suivrai attentivement vos conseils.
En tout cas, je ne sais pas comment vous remercier ! c'est merveilleux ce que vous faites sur commentcamarche.net ! Merci beaucoup.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3535
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
13/01/2010 00:17:29
mbam-log-2010-01-13 (00-17-29).txt
Type de recherche: Examen rapide
Eléments examinés: 102547
Temps écoulé: 8 minute(s), 25 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
-
-
ok parfait
pour te proteger regarde ici https://www.commentcamarche.net/faq/24687-les-logiciels-de-securite-gratuits-indispensables
pour protéger gratos ton ordi
https://www.commentcamarche.net/telecharger/securite/te
vacciner son ordi après avoir branché toutes ses clés usb avec usbfix ou flash disinfector ou rav antivirus car beaucoup actuellement transitent par les supports externes :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
---------
mettre un antivirus
ANTIVIR ou AVG8 ou (AVAST ) ou Microsoft Security Essentials
http://forum.telecharger.01net.com/forum/
http://www.free-av.com/fr/products/1/avira_antivir_personal__free_antivirus.html
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR ou SPYWARE GUARD
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
Rq : spybot … sortent de nouvelles versions régulièrement, vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO
http://www.commentcamarche.net/...
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.01net.com/
https://www.zonealarm.com/software/free-firewall
-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/-
scan approndit avec malware sur tous mes disques durs et clés usb. (rapport ci dessous)
aucun nuisible détectés
tout semble clean, je passe la conversation en résolu
merci pour tout
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3535
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
13/01/2010 15:43:07
mbam-log-2010-01-13 (15-43-07).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 254070
Temps écoulé: 1 hour(s), 31 minute(s), 22 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
-
- 1
- 2
Suivant
