Cheval de Troie et ralentissement

Question

Bonjour,


depuis quelques temps, antivir me trouve plein de cheval de troie (du genre rootkit et kryptic) et lors du scan il les trouve mais ne les supprime pas et restreint juste l'accès ...

Est ce que quelqu'un saurait comment bien nettoyer mon ordi ? Parce que j'pense qu'il doit y avoir encore pleins de petits problèmes.

Et bizarrement, j'ai l'impression d'avoir plus de ralentissements sous mozilla que sous google chrome, mais c'est peut-être juste une impression.


Bonne journée à tous

sKe69 · Answer

Salut,


on va regardé cela ... 


fait ce qui suit pour avoir un diagnostique précis du PC :


1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> Clique droit / "execuetr en tant qu'admin..."  sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


======================


2- Lance de nouveau ZHPDiag ( "en tant qu'admin..." ),

!! déconnecte toi et ferme toutes tes applications en cours !! 

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

totobetourne · Answer

bonjour


1)pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection: IMPORTANT A NE SURTOUT PAS OUBLIER):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html 



2)on va analyser ton pc.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

67nico · Answer

J'ai fait les démarches préconisées par ske69, j'espère que totobetourne ne m'en voudra pas : honneur à l'ancienneté en fonction des messages postées :p.



voici les 2 scans :


1)

http://www.cijoint.fr/cjlink.php?file=cj201002/cijlpGnUrT.txt





2)


http://www.cijoint.fr/cjlink.php?file=cj201002/cijMBo0Czg.odt

sKe69 · Answer

re,


J'ai fait les démarches préconisées par ske69, j'espère que totobetourne ne m'en voudra pas : honneur à l'ancienneté en fonction des messages postées :p. 


en faite, lorsque tu tombes sur deux helpesr que se croisent sur le premier poste , la "coutume" est de suivre celui qui a répondu en 1er ... ;)



infection probable via supports amovibles ....



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



commence par ceci dans l'ordre :


1- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tutos : 
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


=====================


2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

67nico · Answer

Re,


voilà le rapport d'usbfix :



############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:30:36 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (93,73 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,72 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\msiexec.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe

################## | Elements infectieux |

K:\autorun.inf  
K:\autorun.inf -> fichier appelé : "K:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
K:\desktop.dll  
L:\autorun.inf  
L:\autorun.inf -> fichier appelé : "L:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
L:\desktop.dll  
M:\autorun.inf  
M:\autorun.inf -> fichier appelé : "M:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
M:\desktop.dll  
N:\autorun.inf  
N:\autorun.inf -> fichier appelé : "N:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
N:\desktop.dll  
O:\autorun.inf  
O:\autorun.inf -> fichier appelé : "O:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
O:\desktop.dll  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{041a4c59-37ac-11de-b4b0-001c25029789}
shell\AutoRun\command =L:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{1a09b296-6b30-11dd-a5af-001c25029789}
shell\AutoRun\command =K:\InstallTomTomHOME.exe 

HKCU\..\..\Explorer\MountPoints2\{225a5a32-fe9f-11dd-acd4-001c25029789}
shell\AutoRun\command =J:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{257b8317-e07b-11de-9251-001c25029789}
shell\AutoRun\command =K:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{75cfd808-9826-11de-b8bb-001c25029789}
shell\AutoRun\command =J:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{7a937597-1cd1-11dd-8d3c-001c25029789}
shell\AutoRun\command =M:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{8cade3e9-0fdc-11df-bc92-001c25029789}
shell\AutoRun\command =N:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{d4f110d2-04c2-11de-8d89-001c25029789}
shell\AutoRun\command =J:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{d9294bca-026d-11df-a1b4-001c25029789}
shell\AutoRun\command =O:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{dd2fffed-8ac4-11dd-a839-001c25029789}
shell\AutoRun\command =J:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{f14ffe11-18e2-11dd-84b4-001c25029789}
shell\AutoRun\command =L:\ 
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

################## | ! Fin du rapport # UsbFix V6.084 ! |

sKe69 · Answer

oki ....




la suite :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

67nico · Answer

Re,

rapport d'usbfix : ( au redémarrage, antivir à capter un fichier suspect dans les supports amovibles : Bye.agent à chaque fois dans desktop.dll, j'ai mis "refuser l'accès" à chaque fois ... )



############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:19:32 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (92,78 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,72 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-18 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-18 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-879632790-2830527255-250939691-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-879632790-2830527255-250939691-500 
K:\autorun.inf -> fichier appelé : "K:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
Supprimé ! K:\desktop.dll 
Supprimé ! K:\autorun.inf 
L:\autorun.inf -> fichier appelé : "L:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
Supprimé ! L:\desktop.dll 
Supprimé ! L:\autorun.inf 
M:\autorun.inf -> fichier appelé : "M:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
Supprimé ! M:\desktop.dll 
Supprimé ! M:\autorun.inf 
N:\autorun.inf -> fichier appelé : "N:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
Supprimé ! N:\desktop.dll 
Supprimé ! N:\autorun.inf 
O:\autorun.inf -> fichier appelé : "O:undll32.exe .\desktop.dll,InstallM" ( Absent ! )  
Supprimé ! O:\desktop.dll 
Supprimé ! O:\autorun.inf 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{041a4c59-37ac-11de-b4b0-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{1a09b296-6b30-11dd-a5af-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{225a5a32-fe9f-11dd-acd4-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{257b8317-e07b-11de-9251-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{75cfd808-9826-11de-b8bb-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{7a937597-1cd1-11dd-8d3c-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8cade3e9-0fdc-11df-bc92-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d4f110d2-04c2-11de-8d89-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d9294bca-026d-11df-a1b4-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{dd2fffed-8ac4-11dd-a839-001c25029789}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f14ffe11-18e2-11dd-84b4-001c25029789}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[06/05/2007 20:29|--a------|3358] C:\-20070506.log 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr 
[07/05/2007 04:44|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[29/11/2006 16:35|--a------|512] C:\MDR.iss 
[?|?|?] C:\pagefile.sys 
[06/05/2007 20:06|--a------|420] C:\RHDSetup.log 
[06/05/2007 20:18|--a------|178] C:\setup.log 
[23/10/2009 07:29|--a------|1503] C:\updatedatfix.log 
[02/02/2010 11:23|--a------|6402] C:\UsbFix.txt 
[21/12/2009 09:30|--a------|812344] K:\hijackthis_hijackthis_2.02_anglais_17891.exe 
[21/12/2009 09:30|--a------|16409960] K:\spybot-search-destroy_spybot_-_search_destroy_1.6.2.46_francais_10965.exe 
[21/12/2009 09:29|--a------|6000608] K:\sunbelt-personal-firewall-ex-kerio_sunbelt_personal_firewall_ex_kerio_4.6.1861_francais_11071.exe 
[21/12/2009 09:29|--a------|152012024] K:\OOo_3.1.1_Win32Intel_install_wJRE_fr(2).exe 
[21/12/2009 09:26|--a------|2987970] K:\musikCubeSetup_1.0.exe 
[21/12/2009 09:24|--a------|713459] K:\abiword-plugins-impexp-2.4.6.exe 
[21/12/2009 09:24|--a------|384692] K:\AbiWord_Dictionary_Italian.exe 
[21/12/2009 09:24|--a------|379521] K:\AbiWord_Dictionary_Francais.exe 
[21/12/2009 09:23|--a------|5410865] K:\abiword-setup-2.4.6.exe 
[21/12/2009 09:21|--a------|9453630] K:\vlc-0.8.6a-win32.exe 
[21/12/2009 09:19|--a------|939956] K:\7z465.exe 
[21/12/2009 09:17|--a------|5011104] K:\klcp_update_552_20091214.exe 
[21/12/2009 09:12|--a------|9058112] K:\Thunderbird Setup 3.0.exe 
[21/12/2009 09:11|--a------|8143344] K:\Firefox Setup 3.5.6.exe 
[21/12/2009 09:09|--a------|30143928] K:\avira_antivir_personal_free(3).exe 
[21/12/2009 09:35|--a------|11213088] K:\winamp557_full_emusic-7plus_fr-fr.exe 
[21/12/2009 09:34|--a------|450114] K:\RegSeeker.zip 
[21/12/2009 09:32|--a------|4844296] K:\mbam-setup(2).exe 
[21/12/2009 09:31|--a------|3309072] K:\ccsetup224(2).exe 
[21/12/2009 11:04|--a------|27133983] K:\ivdf_fusebundle_nt_en.zip 
[21/12/2009 13:17|--a------|27542576] K:\AdbeRdr920_fr_FR.exe 
[21/12/2009 13:17|--a------|3485361] K:\Alchemy-007.2.zip 
[21/01/2010 13:17|--a------|958249] K:\Favoris.html 
[28/12/2009 15:05|--a------|20887] L:\R‚gularisation et Offre de Prix.ods 
[01/10/2009 14:46|--a------|296] L:\WMPInfo.xml 
[12/01/2010 15:57|--a------|94720] L:\CDD VOGT 110110.doc 
[12/10/2009 14:35|-rahs----|5075599] L:	humb.dd 
[19/01/2007 20:58|--a------|30208] N:\FLORISOL 0012007 gce (solde  CMCO gaines ).doc 
[05/02/2006 17:40|--a------|12405] N:\logo.gif 
[01/10/2004 16:46|--a------|22528] N:\P.P.S.P.S  1.doc 
[01/01/2001 00:07|--a------|27136] N:\attestation sur l'honneur 3.doc 
[11/07/2007 06:02|--a------|24576] N:\attestation sur l'honneur 2.doc 
[25/03/2008 09:25|--a------|113664] N:	arifs kaimann 2008.xls 
[01/10/2004 16:41|--a------|24064] N:\P.P.S.P.S  2.doc 
[06/03/2007 09:02|--a------|215040] N:\KAIMANN_TARIFS_AU_01-02-2007.xls 
[01/01/2001 01:25|--a------|22016] N:\ATTESTATION SUR L'HONNEUR  4.doc 
[19/12/2001 09:12|--a------|19968] N:\P.P.S.P.S  TITRE.doc 
[25/02/2009 14:07|--a------|1614] N:\BOOTEX.LOG 
[21/02/2006 21:33|--a------|27136] N:\attestation de renonciation … la caution de sous-traitance.doc 
[15/12/2005 19:22|--a------|25088] N:\ATTESTATION SUR L'HONNEUR.doc 
[12/03/2007 11:29|--a------|24064] N:\Alaincourrier.doc 
[14/03/2007 11:19|--a------|41472] N:\florisol_tarjous.doc 
[09/11/2009 04:20|--a------|356] N:\EXEMPLE COURRIER.lnk 
[25/03/2008 09:25|--a------|15872] N:	arifs thermolite lammellas paroc 2008.xls 
[25/03/2008 09:25|--a------|107008] N:	arifs  thermolite laine + divers 2008.xls 
[06/04/2009 13:25|--a------|115200] N:\florisol tarif divers au 01-03-2009.xls 
[06/04/2009 13:25|--a------|105984] N:\florisol tarif kaiflex au 01-01-2009.xls 
[06/04/2009 13:26|--a------|34304] N:\florisol tarif kaiflex epdm au 01-01-2009.xls 
[10/03/2009 16:26|--a------|35840] N:\dossier_article_devis_facture_excel.xls 
[17/01/2010 04:01|--ahs----|861696] N:\ehthumbs_vista.db 
[31/03/2009 11:41|--a------|296] N:\WMPInfo.xml 
[23/02/2006 16:44|--a------|31232] N:\devis epaisseur 13.xls 
[23/02/2006 16:46|--a------|31232] N:\devis epaisseur 19.xls 
[23/02/2006 16:48|--a------|31232] N:\devis epaisseur 30.xls 
[25/02/2006 19:52|--a------|33280] N:\Tarif Elastomere Epaisseur 13 et 19.xls 
[02/03/2006 02:13|--a------|33280] N:\Tarif Collier Eau glac‚e Epaisseur 13 et 19.xls 
[29/02/2008 14:16|--a------|5075112] O:\CarryItEasy.exe 
[15/02/2008 17:16|--a------|476957] O:\Password Protection User Manual (CarryItEasy.exe).pdf 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# K:\autorun.inf -> Dossier créé par UsbFix.  
# L:\autorun.inf -> Dossier créé par UsbFix.  
# N:\autorun.inf -> Dossier créé par UsbFix.  
# O:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.084 ! |



2) Rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijiCmAboj.odt

sKe69 · Answer

Re,


recommence la manipe de nettoyage avec UsbFix stp ... 

mais cette fois , désactive AntiVir au préhalable !

Si au reboot , il se réactive et donne des alertes , tu fais "ignorer" pour que UsbFix puisse bosser ...



Poste moi le nouveau rapport obtenu et attends la suite ...

67nico · Answer

Voilà,

j'ai désactivé antivir avant le lancement et au redémarrage il ne s'est pas manifesté :




############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:47:28 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (92,77 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,81 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[06/05/2007 20:29|--a------|3358] C:\-20070506.log 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr 
[07/05/2007 04:44|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[29/11/2006 16:35|--a------|512] C:\MDR.iss 
[?|?|?] C:\pagefile.sys 
[06/05/2007 20:06|--a------|420] C:\RHDSetup.log 
[06/05/2007 20:18|--a------|178] C:\setup.log 
[23/10/2009 07:29|--a------|1503] C:\updatedatfix.log 
[02/02/2010 11:49|--a------|4025] C:\UsbFix.txt 
[02/02/2010 11:23|--a------|4135] C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip 
[21/12/2009 09:30|--a------|812344] K:\hijackthis_hijackthis_2.02_anglais_17891.exe 
[21/12/2009 09:30|--a------|16409960] K:\spybot-search-destroy_spybot_-_search_destroy_1.6.2.46_francais_10965.exe 
[21/12/2009 09:29|--a------|6000608] K:\sunbelt-personal-firewall-ex-kerio_sunbelt_personal_firewall_ex_kerio_4.6.1861_francais_11071.exe 
[21/12/2009 09:29|--a------|152012024] K:\OOo_3.1.1_Win32Intel_install_wJRE_fr(2).exe 
[21/12/2009 09:26|--a------|2987970] K:\musikCubeSetup_1.0.exe 
[21/12/2009 09:24|--a------|713459] K:\abiword-plugins-impexp-2.4.6.exe 
[21/12/2009 09:24|--a------|384692] K:\AbiWord_Dictionary_Italian.exe 
[21/12/2009 09:24|--a------|379521] K:\AbiWord_Dictionary_Francais.exe 
[21/12/2009 09:23|--a------|5410865] K:\abiword-setup-2.4.6.exe 
[21/12/2009 09:21|--a------|9453630] K:\vlc-0.8.6a-win32.exe 
[21/12/2009 09:19|--a------|939956] K:\7z465.exe 
[21/12/2009 09:17|--a------|5011104] K:\klcp_update_552_20091214.exe 
[21/12/2009 09:12|--a------|9058112] K:\Thunderbird Setup 3.0.exe 
[21/12/2009 09:11|--a------|8143344] K:\Firefox Setup 3.5.6.exe 
[21/12/2009 09:09|--a------|30143928] K:\avira_antivir_personal_free(3).exe 
[21/12/2009 09:35|--a------|11213088] K:\winamp557_full_emusic-7plus_fr-fr.exe 
[21/12/2009 09:34|--a------|450114] K:\RegSeeker.zip 
[21/12/2009 09:32|--a------|4844296] K:\mbam-setup(2).exe 
[21/12/2009 09:31|--a------|3309072] K:\ccsetup224(2).exe 
[21/12/2009 11:04|--a------|27133983] K:\ivdf_fusebundle_nt_en.zip 
[21/12/2009 13:17|--a------|27542576] K:\AdbeRdr920_fr_FR.exe 
[21/12/2009 13:17|--a------|3485361] K:\Alchemy-007.2.zip 
[21/01/2010 13:17|--a------|958249] K:\Favoris.html 
[28/12/2009 15:05|--a------|20887] L:\R‚gularisation et Offre de Prix.ods 
[01/10/2009 14:46|--a------|296] L:\WMPInfo.xml 
[12/01/2010 15:57|--a------|94720] L:\CDD VOGT 110110.doc 
[12/10/2009 14:35|-rahs----|5075599] L:	humb.dd 
[19/01/2007 20:58|--a------|30208] N:\FLORISOL 0012007 gce (solde  CMCO gaines ).doc 
[05/02/2006 17:40|--a------|12405] N:\logo.gif 
[01/10/2004 16:46|--a------|22528] N:\P.P.S.P.S  1.doc 
[01/01/2001 00:07|--a------|27136] N:\attestation sur l'honneur 3.doc 
[11/07/2007 06:02|--a------|24576] N:\attestation sur l'honneur 2.doc 
[25/03/2008 09:25|--a------|113664] N:	arifs kaimann 2008.xls 
[01/10/2004 16:41|--a------|24064] N:\P.P.S.P.S  2.doc 
[06/03/2007 09:02|--a------|215040] N:\KAIMANN_TARIFS_AU_01-02-2007.xls 
[01/01/2001 01:25|--a------|22016] N:\ATTESTATION SUR L'HONNEUR  4.doc 
[19/12/2001 09:12|--a------|19968] N:\P.P.S.P.S  TITRE.doc 
[25/02/2009 14:07|--a------|1614] N:\BOOTEX.LOG 
[21/02/2006 21:33|--a------|27136] N:\attestation de renonciation … la caution de sous-traitance.doc 
[15/12/2005 19:22|--a------|25088] N:\ATTESTATION SUR L'HONNEUR.doc 
[12/03/2007 11:29|--a------|24064] N:\Alaincourrier.doc 
[14/03/2007 11:19|--a------|41472] N:\florisol_tarjous.doc 
[09/11/2009 04:20|--a------|356] N:\EXEMPLE COURRIER.lnk 
[25/03/2008 09:25|--a------|15872] N:	arifs thermolite lammellas paroc 2008.xls 
[25/03/2008 09:25|--a------|107008] N:	arifs  thermolite laine + divers 2008.xls 
[06/04/2009 13:25|--a------|115200] N:\florisol tarif divers au 01-03-2009.xls 
[06/04/2009 13:25|--a------|105984] N:\florisol tarif kaiflex au 01-01-2009.xls 
[06/04/2009 13:26|--a------|34304] N:\florisol tarif kaiflex epdm au 01-01-2009.xls 
[10/03/2009 16:26|--a------|35840] N:\dossier_article_devis_facture_excel.xls 
[17/01/2010 04:01|--ahs----|861696] N:\ehthumbs_vista.db 
[31/03/2009 11:41|--a------|296] N:\WMPInfo.xml 
[23/02/2006 16:44|--a------|31232] N:\devis epaisseur 13.xls 
[23/02/2006 16:46|--a------|31232] N:\devis epaisseur 19.xls 
[23/02/2006 16:48|--a------|31232] N:\devis epaisseur 30.xls 
[25/02/2006 19:52|--a------|33280] N:\Tarif Elastomere Epaisseur 13 et 19.xls 
[02/03/2006 02:13|--a------|33280] N:\Tarif Collier Eau glac‚e Epaisseur 13 et 19.xls 
[29/02/2008 14:16|--a------|5075112] O:\CarryItEasy.exe 
[15/02/2008 17:16|--a------|476957] O:\Password Protection User Manual (CarryItEasy.exe).pdf 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# K:\autorun.inf -> Dossier créé par UsbFix.  
# L:\autorun.inf -> Dossier créé par UsbFix.  
# N:\autorun.inf -> Dossier créé par UsbFix.  
# O:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.084 ! |

sKe69 · Answer

impec ...


Supprime ce fichier qui est à la racine de ton disque dure > C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip 



la suite dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=========================

2- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


===========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

thierry75 · Answer

bonjour,
pour bien nettoyer ton ordi et vérifier (et aussi éliminer) qu'il n'y a plus rien, il y a un truc très très simple, télécharge Dr.Web CureIt!, c'est gratuit, et super efficace :https://free.drweb.com/cureit/  !
a+

67nico · Answer

Re,

après avoir suivi toutes les opérations dans l'ordre

voici les deux rapports demandés :

Celui de Malware où rien n'a été détecté

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 6.0.6001 Service Pack 1

02/02/2010 12:33:09
mbam-log-2010-02-02 (12-33-09).txt

Type de recherche: Examen rapide
Eléments examinés: 83543
Temps écoulé: 4 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Puis celui de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijmkLH6U1.txt

sKe69 · Answer

re,


ta version de Malwarebytes est complètement obsolete !!!


il faut le mette à jour ! > va dans l'onglet mise à jour de MBAM et clique sur "recherche de mise à jour" ...

recommence plusieurs fois jusqu'à ce qu'il n'est plus de maj dispo ...



une fois à jour , tu recommences la manipe ... Poste moi le nouveau rapport obtenu pour analyse ....

67nico · Answer

Re,


J'ai effectué les mises à jours. Finalement il en aura trouver 4 ...


Voici le rapport


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3677
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

02/02/2010 14:23:26
mbam-log-2010-02-02 (14-23-26).txt

Type de recherche: Examen rapide
Eléments examinés: 101280
Temps écoulé: 6 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyWebSearchService (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers\ddsuok.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\FLORISOL\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\FLORISOL\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

sKe69 · Answer

Tient tient ...


une belle salté dénichée par MBAM ... faut approfondir ...



dans l'ordre :


1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .


===========================


2- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 

http://www2.gmer.net/gmer.zip
 
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Clique droit / executer en tant qu'admin..." sur gmer.exe pour le lancer . 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 

> poste le rapport stp ... 


==========================

3- Télécharge WC32 / Virut-Scan ( d'Eric_71 ) sur ton bureau :

> http://eric71.geekstogo.com/beta/WC32.exe

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Clique droit / "executer en tant qu'admin..." sur WC32 pour lancer l'outil.
* Clique sur le bouton [SCAN] ( ne touche à rien d'autre ) puis laisse travailler ...
* Une fois le scan terminé un rapport s'affiche dans l'encadré principal .

-> copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ... ( le rapport sera en outre enregistrer sur ton bureau sous le nom de virscan.txt )

Puis ferme l'outil ...

67nico · Answer

Re, 

Voici le rapport de Gmer :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 15:28:38
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\FLORISOL\AppData\Local\Temp\awryiuob.sys


---- System - GMER 1.0.15 ----

SSDT     \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateProcess [0x892EF9A6]                                                                                                                                          <-- ROOTKIT !!!
SSDT     \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateProcessEx [0x892EFB98]                                                                                                                                        <-- ROOTKIT !!!
SSDT     9D54044C                                                                                             ZwCreateThread
SSDT     9D540438                                                                                             ZwOpenProcess
SSDT     9D54043D                                                                                             ZwOpenThread
SSDT     9D540447                                                                                             ZwTerminateProcess
SSDT     \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateUserProcess [0x892EFDA0]                                                                                                                                      <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

.text    ntkrnlpa.exe!KeSetTimerEx + 43C                                                                      834C1A00 8 Bytes  [A6, F9, 2E, 89, 98, FB, 2E, ...]
.text    ntkrnlpa.exe!KeSetTimerEx + 454                                                                      834C1A18 4 Bytes  [4C, 04, 54, 9D] {DEC ESP; ADD AL, 0x54; POPF }
.text    ntkrnlpa.exe!KeSetTimerEx + 624                                                                      834C1BE8 4 Bytes  [38, 04, 54, 9D] {CMP [ESP+EDX*2], AL; POPF }
.text    ntkrnlpa.exe!KeSetTimerEx + 640                                                                      834C1C04 4 Bytes  [3D, 04, 54, 9D]
.text    ntkrnlpa.exe!KeSetTimerEx + 854                                                                      834C1E18 4 Bytes  [47, 04, 54, 9D] {INC EDI; ADD AL, 0x54; POPF }
.text    ...                                                                                                  
?        System32\driversjmnouwf.sys                                                                        Le chemin d'accès spécifié est introuvable. !
?        System32\Drivers\ddsuok.sys                                                                          Un périphérique attaché au système ne fonctionne pas correctement. !
.text    C:\Windows\system32\DRIVERS
vlddmkm.sys                                                             section is writeable [0x8F808340, 0x33CA27, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                [743A88B4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                 [743E98A5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]             [743AB9D4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]       [7439FB47] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                 [743A7A79] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]              [7439EA65] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]  [743DB17D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]     [743ABC9A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]             [743A074E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]              [743A06B5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]               [743971B3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]       [7442D848] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]          [743C7379] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]             [7439E109] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                       [7439697E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                      [743969A9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT      C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]         [743A2465] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Ntfs \Ntfs                                                                               87197A60

---- Services - GMER 1.0.15 ----

Service   (*** hidden *** )                                                                                   [BOOT] ddsuok                                                                                                                                                         <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Type                                                   1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Start                                                  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@ErrorControl                                           0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Group                                                  Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet019\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet019\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet019\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet019\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet020\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet020\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet020\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet020\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet021\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet021\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet021\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet021\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet022\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet022\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet022\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet022\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet023\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet023\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet023\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet023\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet024\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet024\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet024\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet024\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet025\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet025\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet025\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet025\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet026\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet026\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet026\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet026\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet027\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet027\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet027\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet027\Services\ddsuok@Group                                                      Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet028\Services\ddsuok@Type                                                       1
Reg      HKLM\SYSTEM\ControlSet028\Services\ddsuok@Start                                                      0
Reg      HKLM\SYSTEM\ControlSet028\Services\ddsuok@ErrorControl                                               0
Reg      HKLM\SYSTEM\ControlSet028\Services\ddsuok@Group                                                      Boot Bus Extender

---- EOF - GMER 1.0.15 ----



-----------------------------------------------------------

Et celui de Virut Scan qui est "un peu" plus court :




--  Report  --

.

sKe69 · Answer

bien ....


parcontre le rapport de GMER est éloquant ...



fait exactement ce qui suit :


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
•  Ferme tes applications en cours ( ainsi que ton navigateur ) .
•  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .  
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
•  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
•  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------


Ensuite :
> Clique droit / "executer an tant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse et attends la suite ...

67nico · Answer

Voilà ce que ca donne :


ComboFix 10-02-01.03 - FLORISOL 02/02/2010  15:59:52.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2047.1222 [GMT 1:00]
Lancé depuis: c:\users\FLORISOL\Desktop\ComboFix.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\FLORISOL\Documents\cc_20091105_093109.reg

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-01-02 au 2010-02-02  ))))))))))))))))))))))))))))))))))))
.

2010-02-02 15:07 . 2010-02-02 15:07	--------	d-----w-	c:\users\FLORISOL\AppData\Local	emp
2010-02-02 15:07 . 2010-02-02 15:07	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-02-02 11:45 . 2010-02-02 11:45	--------	d-----w-	c:\users\FLORISOL\DoctorWeb
2010-02-02 09:29 . 2010-02-02 10:49	--------	d-----w-	C:\UsbFix
2010-02-02 08:23 . 2010-02-02 10:26	--------	d-----w-	c:\program files\ZHPDiag
2010-02-01 17:47 . 2009-08-24 12:16	378368	----a-w-	c:\windows\system32\winhttp.dll
2010-01-31 23:00 . 2009-06-15 15:21	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-01-31 23:00 . 2009-06-15 15:24	270848	----a-w-	c:\windows\system32\schannel.dll
2010-01-21 08:14 . 2010-01-21 08:17	--------	d-----w-	c:\program files\Google
2010-01-17 02:33 . 2010-01-17 02:33	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\CoSoSys
2010-01-13 05:12 . 2009-10-19 14:27	156672	----a-w-	c:\windows\system32	2embed.dll
2010-01-13 05:12 . 2009-10-19 14:24	72704	----a-w-	c:\windows\system32\fontsub.dll
2010-01-12 01:40 . 2010-01-12 01:40	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HPAppData
2010-01-08 12:43 . 2010-01-08 12:44	23802	----a-w-	c:\windows\hpqins15.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-02 14:52 . 2006-11-02 15:48	669328	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-02 14:52 . 2006-11-02 15:48	123350	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-02 13:11 . 2009-02-01 13:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-02 13:09 . 2009-10-02 11:10	5115824	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-02 11:08 . 2009-05-14 12:01	1	----a-w-	c:\users\FLORISOL\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-02 09:26 . 2008-06-14 18:39	22023120	----a-w-	c:\users\FLORISOL\AppData\Roaming\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
2010-01-22 03:21 . 2009-05-25 13:22	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-15 13:09 . 2009-10-23 06:08	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HpUpdate
2010-01-14 10:12 . 2009-10-03 03:11	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-13 15:30 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-01-07 15:07 . 2009-02-01 13:00	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-02-01 13:00	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-02 06:38 . 2010-01-21 21:26	916480	----a-w-	c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 21:26	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-21 21:26	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-21 21:26	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-12-30 13:53 . 2008-04-30 10:40	74664	----a-w-	c:\users\FLORISOL\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-30 07:20 . 2007-05-06 19:18	--------	d-----w-	c:\programdata\Microsoft Help
2009-12-30 07:18 . 2007-05-06 19:20	--------	d-----w-	c:\program files\Microsoft Works
2009-12-28 13:43 . 2008-04-30 10:39	--------	d-----w-	c:\program files\Yahoo!
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\program files\SystemRequirementsLab
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_d.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_c.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_b.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_a.dll
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab
2009-12-18 08:17 . 2009-12-21 09:30	586106	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-12-18 08:17 . 2009-12-21 09:30	237943	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aehelp.dll
2009-12-18 08:17 . 2009-12-21 09:30	369014	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-12-13 10:36 . 2009-12-06 09:59	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Apple Computer
2009-12-13 10:30 . 2009-12-06 09:53	--------	d-----w-	c:\programdata\Apple
2009-12-11 22:42 . 2009-09-02 09:09	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-11 22:42 . 2009-12-21 09:30	127348	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescn.dll
2009-12-11 22:42 . 2009-12-21 09:30	180598	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aecore.dll
2009-12-08 19:03 . 2009-12-08 19:03	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Windows Live Writer
2009-12-07 21:39 . 2009-12-21 09:30	2183544	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iTunes
2009-12-06 09:57 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iPod
2009-12-06 09:57 . 2009-12-06 09:53	--------	d-----w-	c:\program files\Common Files\Apple
2009-12-06 09:57 . 2009-12-06 09:56	--------	d-----w-	c:\programdata\Apple Computer
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\Bonjour
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\QuickTime
2009-12-06 09:55 . 2009-12-06 09:55	--------	d-----w-	c:\program files\Apple Software Update
2009-12-05 02:36 . 2007-05-06 19:34	--------	d-----w-	c:\programdata\eSobi
2009-12-01 14:11 . 2009-12-21 09:30	479605	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-11-20 12:06 . 2009-12-21 09:30	246132	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aesbx.dll
2009-11-20 08:32 . 2009-11-20 08:24	78314	----a-w-	c:\windows\hpqins05.dat
2009-11-19 10:48 . 2009-12-01 07:21	872960	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-01 07:21	43008	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-01 07:21	340480	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-12-01 07:21	346624	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-09 13:22 . 2009-12-10 01:52	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-11-09 13:20 . 2009-12-10 01:52	31232	----a-w-	c:\windows\system32\httpapi.dll
2009-11-09 11:04 . 2009-12-10 01:52	411136	----a-w-	c:\windows\system32\drivers\http.sys
2009-11-06 07:16 . 2009-12-21 09:30	422261	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aepack.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-02-15 151552]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-03-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-22 8425472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-5-6 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^FLORISOL^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
path=c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Empowering Technology Monitor]
2007-01-24 08:27	319488	----a-w-	c:\acer\Empowering Technology\SysMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
2007-02-15 16:39	151552	----a-w-	c:\acer\AcerTour\Reminder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 PCTCore;PCTools KDS;c:\windows\System32\drivers\PCTCore.sys [12/10/2009 15:24 206256]
R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [06/05/2007 20:33 266343]
R2 Acer TV Share Service;Acer TV Share Service;c:\program files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe [14/07/2007 02:53 269424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2009 10:09 108289]
R3 Ph3xIB32;Philips 713x VU PCI TV Card;c:\windows\System32\drivers\Ph3xIB32.sys [03/04/2007 09:43 1131136]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/01/2010 09:14 135664]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [03/12/2009 22:59 54632]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/10/2009 15:24 348824]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ddsuok

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]

2010-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: &Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
FF - component: c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-02 16:07
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ddsuok]

.
Heure de fin: 2010-02-02  16:11:49
ComboFix-quarantined-files.txt  2010-02-02 15:11

Avant-CF: 99 349 860 352 octets libres
Après-CF: 99 260 547 072 octets libres

- - End Of File - - 239ECA8DD46AF801D913E78CD077A4A9

sKe69 · Answer

bon ...



j'ai besoin d'info ....


fait ceci dans l'ordre :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Windows\system32\DRIVERS
vlddmkm.sys 

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\Windows\system32\drivers\PCTCore.sys 
C:\Windows\system32\driversjmnouwf.sys 
C:\Windows\System32\drivers\ddsuok.sys 


Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


=============================

3- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

nvlddmkm,PCTCore,rjmnouwf,ddsuok 


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant  " Afficher les ADS "

* Au niveau  des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

67nico · Answer

Bonsoir, 


je n'ai pas accès à l'ordi concerné avant demain matin 8h. Je ferai cette étape demain matin et continuerai de poster normalement ensuite.


Bonne soirée

67nico · Answer

Salut, 

oui c'est le pc de mon boulot mais il n'est pas en réseau : nous sommes une petite boite familiale ...


J'ai preféré arreté les démarches parce que il y a un petit problème.

J'arrive à analyser sans problème les deux premiers fichier .sys (nvlddmkm et PCTCore) par contre le fichier rjmnouwf.sys n'est pas dans le dossier des drivers et quand je veux analyser ddsuok (qui, lui, est présent) il y a un message me disant "un périphérique attaché au système ne fonctionne pas correctement"

sKe69 · Answer

hello,


J'ai preféré arreté les démarches parce que il y a un petit problème.


> le dernier fichier que tu essayes d'analyser est un rootkit ... un belle salté qui se défend ! ... donc laisse courrir pour celui-ci ....


Continue et poste moi les rapports demandés stp ... 


parcontre pour SEAF tu peux coller ceci à la place stp : PCTCore,rjmnouwf,ddsuok


et peux-tu me poster le rapport de GMER que tu m'as donné via "Ci-joint" ! ...

67nico · Answer

Re,

donc voilà ce que ca donne

Rapport nvlddmkm :

Information additionnelle
File size: 7467104 bytes
MD5...: cca4e01681f18bed67388e29ccfe0926
SHA1..: 61c7a7f49c207ac74d8ef0e593bec8c14c82527f
SHA256: 71271f5d6a389f0d57a7ed1a4c7a148094bdeaa2687d97fb031bc052dfff188a
ssdeep: 98304:dZ3TlZ0uQJJmwD5YmBA8SOoJl4pFRjWz756wP:1Z0uoGmpSOoJl4pF
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3e80
timedatestamp.....: 0x460356c5 (Fri Mar 23 04:25:41 2007)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x340 0x33ca27 0x33ca40 6.31 7829a9d5d72fc30db8b438e7cb09612e
_NVTEXT3 0x33cd80 0xaea 0xb00 5.42 7e4bd25125270eddcee2091f04d46db0
.rdata 0x33d880 0xf39f8 0xf3a00 4.37 7691e7fb5d7342c207a5d0d15fc8b0f4
.data 0x431280 0x2bcd14 0x2bcd20 6.17 db81d36c4674309ca254f8dde9018834
PAGE 0x6edfa0 0x433 0x440 6.06 06e2ea7607b0ad58c45ce5eae96a3e8e
INIT 0x6ee3e0 0xe7e 0xe80 5.63 63ae03d73d6aa8be2cc3ed25b8785cf1
.rsrc 0x6ef260 0xd58 0xd60 3.54 1d99230eb1f1342b39663b21838a0b77
.reloc 0x6effc0 0x2f096 0x2f0a0 6.04 c1138cae85f5ec46f43490b5f12f87d0

( 2 imports )
> HAL.dll: HalGetBusDataByOffset, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, KeQueryPerformanceCounter, READ_PORT_UCHAR, WRITE_PORT_UCHAR, KeGetCurrentIrql, HalSetBusDataByOffset, KeRaiseIrqlToDpcLevel, KfLowerIrql, KfReleaseSpinLock, KfAcquireSpinLock, KfRaiseIrql, KeStallExecutionProcessor, HalTranslateBusAddress
> ntoskrnl.exe: KeReleaseMutex, KeWaitForSingleObject, RtlWriteRegistryValue, wcscpy, RtlCreateRegistryKey, PsGetVersion, KeInitializeMutex, RtlUnicodeStringToAnsiString, RtlInitUnicodeString, KeInitializeEvent, KdRefreshDebuggerNotPresent, ExfInterlockedInsertTailList, IoGetDeviceProperty, KeInitializeApc, MmAllocateContiguousMemorySpecifyCache, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmGetPhysicalAddress, IoFreeMdl, MmFreeContiguousMemorySpecifyCache, MmAllocatePagesForMdl, MmUnmapLockedPages, MmFreePagesFromMdl, wcslen, wcscat, srand, rand, MmMapIoSpace, swprintf, PoUnregisterPowerSettingCallback, _purecall, IoGetCurrentProcess, KeGetCurrentThread, strncpy, PsCreateSystemThread, KeWaitForMultipleObjects, KeReadStateEvent, KeSetPriorityThread, KeSetEvent, ZwClose, KeInsertQueueApc, MmUnmapIoSpace, KeTryToAcquireSpinLockAtDpcLevel, KeSaveFloatingPointState, KeRestoreFloatingPointState, RtlCompareMemory, memmove, qsort, MmMapLockedPagesSpecifyCache, DbgBreakPoint, ZwPowerInformation, DbgPrintEx, wcsncpy, ZwOpenKey, ZwQueryValueKey, ZwCreateKey, ZwSetValueKey, RtlCopyUnicodeString, RtlAppendUnicodeToString, RtlFreeUnicodeString, PsTerminateSystemThread, KeDelayExecutionThread, ZwReadFile, ExFreePoolWithTag, ExAllocatePoolWithTag, PoRegisterPowerSettingCallback, MmProbeAndLockPages, READ_REGISTER_UCHAR, MmUnlockPages, ZwUnloadDriver, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, ZwLoadDriver, _vsnwprintf, ZwQueryInformationFile, ZwOpenFile, RtlQueryRegistryValues, wcsrchr, _allshl, _allmul, _aullshr, ObfDereferenceObject, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, KeBugCheckEx, WRITE_REGISTER_UCHAR, WRITE_REGISTER_USHORT, WRITE_REGISTER_ULONG, READ_REGISTER_USHORT, READ_REGISTER_ULONG, _allshr, _alldiv, RtlFreeAnsiString, _except_handler3, KeQuerySystemTime, _alldvrm, KeInitializeSemaphore, KeReleaseSemaphore, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, MmGetSystemRoutineAddress, KeNumberProcessors, PsGetCurrentProcessId, KeStackAttachProcess, PsLookupProcessByProcessId, KeUnstackDetachProcess, ZwMapViewOfSection, ZwOpenSection, ZwUnmapViewOfSection, KeQueryActiveProcessors, ObReferenceObjectByHandle, KeInitializeTimerEx, KeInitializeDpc, KeSetTimerEx, KeCancelTimer, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, IoUnregisterPlugPlayNotification, IoRegisterPlugPlayNotification, wcscmp, _aulldiv, _aullrem, _snprintf, RtlZeroMemory, RtlUnwind, _chkstk

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: NVIDIA Corporation
copyright....: (C) NVIDIA Corporation. All rights reserved.
product......: NVIDIA Compatible Windows 2000 Miniport Driver, Version 101.70
description..: NVIDIA Compatible Windows 2000 Miniport Driver, Version 101.70
original name: nvlddmkm.sys
internal name: nvlddmkm.sys, NV_LDDM:5346, NV_LDDM_DDK_BUILD:60925
file version.: 7.15.11.0170
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



Rapport TCPCore : 

Information additionnelle
File size: 206256 bytes
MD5...: d302a59e6d1842a201930928a5bad68b
SHA1..: 59344ae88801637efbe5a883f85a1fa64bba3567
SHA256: bf9bf044ca747c99090397cf4729669f4ebbb2dd833bc486b85be3c1b19098b1
ssdeep: 6144:GATuxQrhdgvunXcIxNa6tqqNGWLo8VBEugjj:GATyYA8XcI3a6ttNpo8F8j
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x305f4
timedatestamp.....: 0x4a92100d (Mon Aug 24 03:59:09 2009)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x185d0 0x18600 6.92 69f80357dea663a3bd0acdcb8584d191
.rdata 0x1a000 0x312c 0x3200 7.44 2e019004384d85ca38a34605d2325b3c
.data 0x1e000 0x66c 0x200 2.15 ed784e8fe306cfe027fa105e1ae11f65
PAGE 0x1f000 0xe13e 0xe200 6.52 35f0ed671e58d12c7beccffa9b94e14e
.edata 0x2e000 0x49 0x200 0.83 576695e93aa19eff0919935881e802cf
INIT 0x2f000 0x3238 0x3400 6.13 cbb636c24d044055090878a1d5c0f978
.rsrc 0x33000 0xcb0 0xe00 3.21 f4d562d245d13ac199e00e07a64ac388
.reloc 0x34000 0x2118 0x2200 6.35 de438865929c62c93ec192180b6b441d

( 3 imports )
> ntoskrnl.exe: ZwSetInformationFile, KeWaitForSingleObject, ZwQueryDirectoryFile, ZwReadFile, ZwWriteFile, ZwCreateSection, ZwMapViewOfSection, ZwUnmapViewOfSection, RtlEqualUnicodeString, FsRtlDissectName, IoCreateFileSpecifyDeviceObjectHint, IoGetDeviceAttachmentBaseRef, RtlCompareMemory, memmove, RtlIntegerToUnicodeString, PsGetCurrentThreadId, ExSystemTimeToLocalTime, KeQuerySystemTime, ExInterlockedAddLargeInteger, KeSetPriorityThread, KeGetCurrentThread, _allmul, PsCreateSystemThread, RtlDeleteNoSplay, FsRtlAreNamesEqual, FsRtlIsNameInExpression, FsRtlDoesNameContainWildCards, RtlCompareUnicodeString, RtlDelete, ProbeForRead, _aulldiv, ZwQueryValueKey, ZwSetValueKey, ZwEnumerateKey, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwQuerySystemInformation, PsLookupProcessByProcessId, PsLookupThreadByThreadId, KeUnstackDetachProcess, KeStackAttachProcess, ZwQueryInformationProcess, ObQueryNameString, IoGetDiskDeviceObject, IoGetRelatedDeviceObject, ZwOpenFile, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ExGetPreviousMode, RtlIsNameLegalDOS8Dot3, KeSetEvent, IoGetCurrentProcess, ZwQueryInformationFile, MmSectionObjectType, IoQueueWorkItem, IoAllocateWorkItem, KeInitializeEvent, ZwTerminateProcess, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, ZwOpenProcess, ZwQueryObject, ZwDuplicateObject, RtlEqualString, RtlxAnsiStringToUnicodeSize, NlsMbOemCodePageTag, KeServiceDescriptorTable, ExConvertExclusiveToSharedLite, MmGetSystemRoutineAddress, ZwQueryKey, ObOpenObjectByPointer, KeReleaseSemaphore, ExfInterlockedPushEntryList, ZwDeleteKey, ZwDeleteValueKey, ZwFlushKey, PsTerminateSystemThread, ZwCreateKey, ExfInterlockedPopEntryList, KeInitializeSemaphore, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, ExfInterlockedInsertHeadList, ExfInterlockedRemoveHeadList, IoDetachDevice, IoBuildDeviceIoControlRequest, IoGetAttachedDeviceReference, IoAttachDeviceToDeviceStack, KeTickCount, KeQueryTimeIncrement, IoFreeIrp, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoAllocateIrp, KeDelayExecutionThread, _aullshr, KeBugCheckEx, RtlUnwind, ZwOpenKey, ZwClose, ExInitializeResourceLite, ZwEnumerateValueKey, ExAcquireResourceSharedLite, IoCreateStreamFileObject, RtlVolumeDeviceToDosName, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, memcpy, RtlUpcaseUnicodeString, FsRtlIsPagingFile, IoFileObjectType, ObReferenceObjectByHandle, ObfDereferenceObject, KeEnterCriticalRegion, ExAcquireResourceExclusiveLite, RtlFreeUnicodeString, ExReleaseResourceLite, KeLeaveCriticalRegion, ExDeleteResourceLite, memset, ExAllocatePoolWithTag, IoIsWdmVersionAvailable, RtlCopyUnicodeString, PsGetCurrentProcessId, IoCreateDevice, IoInitializeRemoveLockEx, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoRegisterPlugPlayNotification, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockAndWaitEx, IoAcquireRemoveLockEx, IofCompleteRequest, IofCallDriver, IoReleaseRemoveLockEx, IoDeleteSymbolicLink, IoUnregisterPlugPlayNotification, IoUnregisterShutdownNotification, IoDeleteDevice, ExFreePoolWithTag, IoGetDeviceProperty, RtlInitUnicodeString, ObfReferenceObject, RtlGUIDFromString, DbgPrint, RtlAnsiCharToUnicodeChar, IoReleaseCancelSpinLock
> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, KfAcquireSpinLock
> FLTMGR.SYS: FltCloseClientPort, FltGetVolumeFromFileObject, FltGetVolumeGuidName, FltWriteFile, FltAllocateCallbackData, FltPerformSynchronousIo, FltFreeCallbackData, FltSetInformationFile, FltRegisterFilter, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltStartFiltering, FltGetTunneledName, FltGetStreamContext, FltSetStreamContext, FltGetStreamHandleContext, FltSetStreamHandleContext, FltGetFileNameInformation, FltAllocateContext, FltSetInstanceContext, FltGetDeviceObject, FltGetDestinationFileNameInformation, FltParseFileNameInformation, FltReleaseFileNameInformation, FltGetDiskDeviceObject, FltGetRequestorProcessId, FltCancelFileOpen, FltEnumerateInstances, FltGetInstanceContext, FltReleaseContext, FltIsDirectory, FltQueryInformationFile, FltGetBottomInstance, FltCreateFile, FltReadFile, FltObjectDereference, FltClose, FltCloseCommunicationPort, FltUnregisterFilter, FltSendMessage

( 1 exports )
PiRegister
RDS...: NSRL Reference Data Set
-
trid..: Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
pdfid.: -
sigcheck:
publisher....: PC Tools
copyright....: Copyright (c) 2008 PC Tools. All rights reserved.
product......: Kernel Driver Suite
description..: PC Tools KDS Core Driver
original name: PCTCore.sys
internal name: PCTCore.sys
file version.: 2.0.0.26 built by: WinDDK
comments.....: n/a
signers......: PC Tools
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
signing date.: 5:05 AM 8/24/2009
verified.....: -



Rapport Seaf :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijJzYkhkO.txt


Pour le rapport gmer auquel tu fais allusion, je suppose que c'est celui d'hier :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijor8xK6O.txt

67nico · Answer

Liste AV nvlddmkm

a-squared	4.5.0.50	2010.02.02	-
AhnLab-V3	5.0.0.2	2010.02.01	-
AntiVir	7.9.1.156	2010.02.02	-
Antiy-AVL	2.0.3.7	2010.02.02	-
Authentium	5.2.0.5	2010.02.02	-
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.01	-
BitDefender	7.2	2010.02.02	-
CAT-QuickHeal	10.00	2010.02.02	-
ClamAV	0.96.0.0-git	2010.02.02	-
Comodo	3790	2010.02.02	-
DrWeb	5.0.1.12222	2010.02.02	-
eSafe	7.0.17.0	2010.02.02	-
eTrust-Vet	35.2.7276	2010.02.02	-
F-Prot	4.5.1.85	2010.02.01	-
F-Secure	9.0.15370.0	2010.02.02	-
Fortinet	4.0.14.0	2010.02.02	-
GData	19	2010.02.02	-
Ikarus	T3.1.1.80.0	2010.02.02	-
Jiangmin	13.0.900	2010.02.02	-
K7AntiVirus	7.10.962	2010.02.01	-
Kaspersky	7.0.0.125	2010.02.02	-
McAfee	5879	2010.02.01	-
McAfee+Artemis	5879	2010.02.01	-
McAfee-GW-Edition	6.8.5	2010.02.02	-
Microsoft	1.5406	2010.02.02	-
NOD32	4827	2010.02.02	-
Norman	6.04.03	2010.02.02	-
nProtect	2009.1.8.0	2010.02.02	-
Panda	10.0.2.2	2010.02.01	-
PCTools	7.0.3.5	2010.02.02	-
Prevx	3.0	2010.02.03	-
Rising	22.33.01.04	2010.02.02	-
Sophos	4.50.0	2010.02.02	-
Sunbelt	3.2.1858.2	2010.02.02	-
TheHacker	6.5.1.0.176	2010.02.02	-
TrendMicro	9.120.0.1004	2010.02.02	-
VBA32	3.12.12.1	2010.02.01	-
ViRobot	2010.2.2.2168	2010.02.02	-
VirusBuster	5.0.21.0	2010.02.01	-




Liste AV PCTCore :

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.02.03	-
AhnLab-V3	5.0.0.2	2010.02.03	-
AntiVir	7.9.1.156	2010.02.02	-
Antiy-AVL	2.0.3.7	2010.02.02	-
Authentium	5.2.0.5	2010.02.03	-
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.02	-
BitDefender	7.2	2010.02.03	-
CAT-QuickHeal	10.00	2010.02.03	-
ClamAV	0.96.0.0-git	2010.02.03	-
Comodo	3803	2010.02.03	-
DrWeb	5.0.1.12222	2010.02.03	-
eSafe	7.0.17.0	2010.02.02	-
eTrust-Vet	35.2.7278	2010.02.03	-
F-Prot	4.5.1.85	2010.02.01	-
F-Secure	9.0.15370.0	2010.02.03	-
Fortinet	4.0.14.0	2010.02.03	-
GData	19	2010.02.03	-
Ikarus	T3.1.1.80.0	2010.02.03	-
K7AntiVirus	7.10.963	2010.02.02	-
Kaspersky	7.0.0.125	2010.02.03	-
McAfee	5880	2010.02.02	-
McAfee+Artemis	5880	2010.02.02	-
McAfee-GW-Edition	6.8.5	2010.02.02	-
Microsoft	1.5406	2010.02.03	-
NOD32	4830	2010.02.03	-
Norman	6.04.03	2010.02.02	-
nProtect	2009.1.8.0	2010.02.03	-
Panda	10.0.2.2	2010.02.02	-
PCTools	7.0.3.5	2010.02.03	-
Prevx	3.0	2010.02.03	-
Rising	22.33.02.03	2010.02.03	-
Sophos	4.50.0	2010.02.03	-
Sunbelt	3.2.1858.2	2010.02.03	-
TheHacker	6.5.1.0.177	2010.02.03	-
TrendMicro	9.120.0.1004	2010.02.03	-
VBA32	3.12.12.1	2010.02.02	-
ViRobot	2010.2.3.2169	2010.02.03	-
VirusBuster	5.0.21.0	2010.02.02	-

sKe69 · Answer

bon ....



voilà la suite :

1- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
 
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif . 

Conseil : laisse ces paramètres par la suite ...


=======================


2- Créer un doc texte sur ton bureau: 
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > http://www.cijoint.fr/cj201002/cijgaiGBNK.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

67nico · Answer

Re, après le redémarrage automatique de l'ordinateur fait par combofix je ne pouvais pas aller sur internet (mozilla, IE et google chrome car ca me mettait que le fichier systeme relatifs aux 3 navigateurs avaient été supprimés; quand j'ai redémarré moi même, je n'ai pas eu de problème à ouvrir les navigateurs ...

enfin bref,

Voici le rapport de ComboFix :



ComboFix 10-02-01.03 - FLORISOL 03/02/2010  11:07:19.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2047.1208 [GMT 1:00]
Lancé depuis: c:\users\FLORISOL\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\FLORISOL\Desktop\CFScript.txt
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Recent\PCTCore.txt.lnk"
"c:\users\FLORISOL\Desktop\PCTCore.txt"
"c:\windows\System32\drivers\pctcore.cat"
"c:\windows\system32\driversjmnouwf.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Recent\PCTCore.txt.lnk
c:\users\FLORISOL\Desktop\PCTCore.txt
c:\windows\System32\drivers\pctcore.cat

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DDSUOK
-------\Service_ddsuok
-------\Service_PCTCore


(((((((((((((((((((((((((((((   Fichiers créés du 2010-01-03 au 2010-02-03  ))))))))))))))))))))))))))))))))))))
.

2010-02-03 10:14 . 2010-02-03 10:19	--------	d-----w-	c:\users\FLORISOL\AppData\Local	emp
2010-02-03 10:14 . 2010-02-03 10:14	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-02-03 10:14 . 2010-02-03 10:14	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-02-03 08:07 . 2010-02-03 08:30	--------	d-----w-	c:\program files\SEAF
2010-02-02 11:45 . 2010-02-02 11:45	--------	d-----w-	c:\users\FLORISOL\DoctorWeb
2010-02-02 09:29 . 2010-02-02 10:49	--------	d-----w-	C:\UsbFix
2010-02-02 08:23 . 2010-02-02 10:26	--------	d-----w-	c:\program files\ZHPDiag
2010-02-01 17:47 . 2009-08-24 12:16	378368	----a-w-	c:\windows\system32\winhttp.dll
2010-01-31 23:00 . 2009-06-15 15:21	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-01-31 23:00 . 2009-06-15 15:24	270848	----a-w-	c:\windows\system32\schannel.dll
2010-01-21 08:14 . 2010-01-21 08:17	--------	d-----w-	c:\program files\Google
2010-01-17 02:33 . 2010-01-17 02:33	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\CoSoSys
2010-01-13 05:12 . 2009-10-19 14:27	156672	----a-w-	c:\windows\system32	2embed.dll
2010-01-13 05:12 . 2009-10-19 14:24	72704	----a-w-	c:\windows\system32\fontsub.dll
2010-01-12 01:40 . 2010-01-12 01:40	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HPAppData
2010-01-08 12:43 . 2010-01-08 12:44	23802	----a-w-	c:\windows\hpqins15.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 10:15 . 2009-12-12 20:42	792064	----a-w-	c:\windows\system32\drivers\ddsuok.sys
2010-02-03 09:28 . 2006-11-02 15:48	669328	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-03 09:28 . 2006-11-02 15:48	123350	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-03 05:36 . 2009-05-14 12:01	1	----a-w-	c:\users\FLORISOL\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-02 13:11 . 2009-02-01 13:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-02 13:09 . 2009-10-02 11:10	5115824	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-02 09:26 . 2008-06-14 18:39	22023120	----a-w-	c:\users\FLORISOL\AppData\Roaming\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
2010-01-22 03:21 . 2009-05-25 13:22	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-15 13:09 . 2009-10-23 06:08	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HpUpdate
2010-01-14 10:12 . 2009-10-03 03:11	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-13 15:30 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-01-07 15:07 . 2009-02-01 13:00	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-02-01 13:00	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-02 06:38 . 2010-01-21 21:26	916480	----a-w-	c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 21:26	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-21 21:26	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-21 21:26	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-12-30 13:53 . 2008-04-30 10:40	74664	----a-w-	c:\users\FLORISOL\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-30 07:20 . 2007-05-06 19:18	--------	d-----w-	c:\programdata\Microsoft Help
2009-12-30 07:18 . 2007-05-06 19:20	--------	d-----w-	c:\program files\Microsoft Works
2009-12-28 13:43 . 2008-04-30 10:39	--------	d-----w-	c:\program files\Yahoo!
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\program files\SystemRequirementsLab
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_d.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_c.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_b.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_a.dll
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab
2009-12-18 08:17 . 2009-12-21 09:30	586106	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-12-18 08:17 . 2009-12-21 09:30	237943	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aehelp.dll
2009-12-18 08:17 . 2009-12-21 09:30	369014	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-12-13 10:36 . 2009-12-06 09:59	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Apple Computer
2009-12-13 10:30 . 2009-12-06 09:53	--------	d-----w-	c:\programdata\Apple
2009-12-11 22:42 . 2009-09-02 09:09	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-11 22:42 . 2009-12-21 09:30	127348	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescn.dll
2009-12-11 22:42 . 2009-12-21 09:30	180598	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aecore.dll
2009-12-08 19:03 . 2009-12-08 19:03	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Windows Live Writer
2009-12-07 21:39 . 2009-12-21 09:30	2183544	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iTunes
2009-12-06 09:57 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iPod
2009-12-06 09:57 . 2009-12-06 09:53	--------	d-----w-	c:\program files\Common Files\Apple
2009-12-06 09:57 . 2009-12-06 09:56	--------	d-----w-	c:\programdata\Apple Computer
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\Bonjour
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\QuickTime
2009-12-06 09:55 . 2009-12-06 09:55	--------	d-----w-	c:\program files\Apple Software Update
2009-12-01 14:11 . 2009-12-21 09:30	479605	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-11-20 12:06 . 2009-12-21 09:30	246132	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aesbx.dll
2009-11-20 08:32 . 2009-11-20 08:24	78314	----a-w-	c:\windows\hpqins05.dat
2009-11-19 10:48 . 2009-12-01 07:21	872960	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-01 07:21	43008	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-01 07:21	340480	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-12-01 07:21	346624	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-09 13:22 . 2009-12-10 01:52	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-11-09 13:20 . 2009-12-10 01:52	31232	----a-w-	c:\windows\system32\httpapi.dll
2009-11-09 11:04 . 2009-12-10 01:52	411136	----a-w-	c:\windows\system32\drivers\http.sys
2009-11-06 07:16 . 2009-12-21 09:30	422261	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aepack.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-02-15 151552]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-03-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-22 8425472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-5-6 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^FLORISOL^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
path=c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Empowering Technology Monitor]
2007-01-24 08:27	319488	----a-w-	c:\acer\Empowering Technology\SysMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
2007-02-15 16:39	151552	----a-w-	c:\acer\AcerTour\Reminder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [06/05/2007 20:33 266343]
R2 Acer TV Share Service;Acer TV Share Service;c:\program files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe [14/07/2007 02:53 269424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2009 10:09 108289]
R3 Ph3xIB32;Philips 713x VU PCI TV Card;c:\windows\System32\drivers\Ph3xIB32.sys [03/04/2007 09:43 1131136]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/01/2010 09:14 135664]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [03/12/2009 22:59 54632]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/10/2009 15:24 348824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]

2010-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: &Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
FF - component: c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(5020)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32undll32.exe
c:\windows\System32undll32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2010-02-03  11:22:54 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-02-03 10:22
ComboFix2.txt  2010-02-02 15:11

Avant-CF: 100 504 776 704 octets libres
Après-CF: 100 088 336 384 octets libres

- - End Of File - - 342E98FC56509F1FF55BAE4D28A9306A

sKe69 · Answer

bon ....



du mieux mais la bestiole est encore là ....




reprends ainsi ( et déconecte toi avant de lancer le nouveau scipt ) :


1- Créer un doc texte sur ton bureau: 
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > http://www.cijoint.fr/cj201002/cijHTXu84o.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

67nico · Answer

Re,


Voici le nouveau rapport :


ComboFix 10-02-02.04 - FLORISOL 03/02/2010  12:10:25.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2047.1141 [GMT 1:00]
Lancé depuis: c:\users\FLORISOL\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\FLORISOL\Desktop\CFScript.txt
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\drivers\ddsuok.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ddsuok.sys

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-01-03 au 2010-02-03  ))))))))))))))))))))))))))))))))))))
.

2010-02-03 11:15 . 2010-02-03 11:15	--------	d-----w-	c:\users\FLORISOL\AppData\Local	emp
2010-02-03 11:15 . 2010-02-03 11:15	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-02-03 11:15 . 2010-02-03 11:15	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-02-03 08:07 . 2010-02-03 08:30	--------	d-----w-	c:\program files\SEAF
2010-02-02 11:45 . 2010-02-02 11:45	--------	d-----w-	c:\users\FLORISOL\DoctorWeb
2010-02-02 09:29 . 2010-02-02 10:49	--------	d-----w-	C:\UsbFix
2010-02-02 08:23 . 2010-02-02 10:26	--------	d-----w-	c:\program files\ZHPDiag
2010-02-01 17:47 . 2009-08-24 12:16	378368	----a-w-	c:\windows\system32\winhttp.dll
2010-01-31 23:00 . 2009-06-15 15:21	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-01-31 23:00 . 2009-06-15 15:24	270848	----a-w-	c:\windows\system32\schannel.dll
2010-01-21 08:14 . 2010-01-21 08:17	--------	d-----w-	c:\program files\Google
2010-01-17 02:33 . 2010-01-17 02:33	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\CoSoSys
2010-01-13 05:12 . 2009-10-19 14:27	156672	----a-w-	c:\windows\system32	2embed.dll
2010-01-13 05:12 . 2009-10-19 14:24	72704	----a-w-	c:\windows\system32\fontsub.dll
2010-01-12 01:40 . 2010-01-12 01:40	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HPAppData
2010-01-08 12:43 . 2010-01-08 12:44	23802	----a-w-	c:\windows\hpqins15.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 11:11 . 2006-11-02 15:48	669328	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-03 11:11 . 2006-11-02 15:48	123350	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-03 10:50 . 2009-05-14 12:01	1	----a-w-	c:\users\FLORISOL\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-02 13:11 . 2009-02-01 13:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-02 13:09 . 2009-10-02 11:10	5115824	----a-w-	c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-02 09:26 . 2008-06-14 18:39	22023120	----a-w-	c:\users\FLORISOL\AppData\Roaming\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
2010-01-22 03:21 . 2009-05-25 13:22	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-15 13:09 . 2009-10-23 06:08	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\HpUpdate
2010-01-14 10:12 . 2009-10-03 03:11	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-13 15:30 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-01-07 15:07 . 2009-02-01 13:00	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-02-01 13:00	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-02 06:38 . 2010-01-21 21:26	916480	----a-w-	c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 21:26	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-21 21:26	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-21 21:26	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-12-30 13:53 . 2008-04-30 10:40	74664	----a-w-	c:\users\FLORISOL\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-30 07:20 . 2007-05-06 19:18	--------	d-----w-	c:\programdata\Microsoft Help
2009-12-30 07:18 . 2007-05-06 19:20	--------	d-----w-	c:\program files\Microsoft Works
2009-12-28 13:43 . 2008-04-30 10:39	--------	d-----w-	c:\program files\Yahoo!
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\program files\SystemRequirementsLab
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_d.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_c.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_b.dll
2009-12-25 13:42 . 2009-12-25 13:42	138240	----a-w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_a.dll
2009-12-25 13:42 . 2009-12-25 13:42	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab
2009-12-18 08:17 . 2009-12-21 09:30	586106	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-12-18 08:17 . 2009-12-21 09:30	237943	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aehelp.dll
2009-12-18 08:17 . 2009-12-21 09:30	369014	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-12-13 10:36 . 2009-12-06 09:59	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Apple Computer
2009-12-13 10:30 . 2009-12-06 09:53	--------	d-----w-	c:\programdata\Apple
2009-12-11 22:42 . 2009-09-02 09:09	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-11 22:42 . 2009-12-21 09:30	127348	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescn.dll
2009-12-11 22:42 . 2009-12-21 09:30	180598	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aecore.dll
2009-12-08 19:03 . 2009-12-08 19:03	--------	d-----w-	c:\users\FLORISOL\AppData\Roaming\Windows Live Writer
2009-12-07 21:39 . 2009-12-21 09:30	2183544	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-06 09:58 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iTunes
2009-12-06 09:57 . 2009-12-06 09:57	--------	d-----w-	c:\program files\iPod
2009-12-06 09:57 . 2009-12-06 09:53	--------	d-----w-	c:\program files\Common Files\Apple
2009-12-06 09:57 . 2009-12-06 09:56	--------	d-----w-	c:\programdata\Apple Computer
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\Bonjour
2009-12-06 09:56 . 2009-12-06 09:56	--------	d-----w-	c:\program files\QuickTime
2009-12-06 09:55 . 2009-12-06 09:55	--------	d-----w-	c:\program files\Apple Software Update
2009-12-01 14:11 . 2009-12-21 09:30	479605	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-11-20 12:06 . 2009-12-21 09:30	246132	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aesbx.dll
2009-11-20 08:32 . 2009-11-20 08:24	78314	----a-w-	c:\windows\hpqins05.dat
2009-11-19 10:48 . 2009-12-01 07:21	872960	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-01 07:21	43008	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-01 07:21	340480	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-12-01 07:21	346624	----a-w-	c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-09 13:22 . 2009-12-10 01:52	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-11-09 13:20 . 2009-12-10 01:52	31232	----a-w-	c:\windows\system32\httpapi.dll
2009-11-09 11:04 . 2009-12-10 01:52	411136	----a-w-	c:\windows\system32\drivers\http.sys
2009-11-06 07:16 . 2009-12-21 09:30	422261	----a-w-	c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aepack.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-02-15 151552]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-03-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-22 8425472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-5-6 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^FLORISOL^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
path=c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Empowering Technology Monitor]
2007-01-24 08:27	319488	----a-w-	c:\acer\Empowering Technology\SysMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
2007-02-15 16:39	151552	----a-w-	c:\acer\AcerTour\Reminder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 CLFS;Common Log (CLFS);c:\windows\System32\clfs.sys [23/05/2008 01:57 247352]
R0 Ecache;ReadyBoost Caching Driver;c:\windows\System32\drivers\ecache.sys [23/05/2008 01:57 143416]
R0 FileInfo;File Information FS MiniFilter;c:\windows\System32\drivers\fileinfo.sys [23/05/2008 01:56 58936]
R0 msisadrv;Pilote de classe ISA/EISA;c:\windows\System32\drivers\msisadrv.sys [23/05/2008 01:56 16440]
R0 spldr;Security Processor Loader Driver;c:\windows\System32\drivers\spldr.sys [23/05/2008 01:56 21048]
R0 volmgr;Pilote du Gestionnaire de volume;c:\windows\System32\drivers\volmgr.sys [23/05/2008 01:57 52792]
R0 volmgrx;Dynamic Volume Manager;c:\windows\System32\drivers\volmgrx.sys [23/05/2008 01:57 294456]
R1 DfsC;DFS Namespace Client Driver;c:\windows\System32\drivers\dfsc.sys [23/05/2008 01:56 75264]
R1 nsiproxy;NSI proxy service;c:\windows\System32\drivers
siproxy.sys [23/05/2008 01:56 16384]
R1 RDPENCDD;RDP Encoder Mirror Driver;c:\windows\System32\drivers\RDPENCDD.sys [23/05/2008 01:56 6144]
R1 Smb;Protocoles TCP/IP et TCP/IPv6 orienté messages (session SMB);c:\windows\System32\drivers\smb.sys [23/05/2008 01:56 66560]
R1 tdx;Pilote de prise en charge TDI héritée NetIO;c:\windows\System32\drivers	dx.sys [23/05/2008 01:56 71680]
R1 Wanarpv6;Remote Access IPv6 ARP Driver;c:\windows\System32\drivers\wanarp.sys [23/05/2008 01:56 62464]
R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [06/05/2007 20:33 266343]
R2 Acer TV Share Service;Acer TV Share Service;c:\program files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe [14/07/2007 02:53 269424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2009 10:09 108289]
R2 AudioEndpointBuilder;Générateur de points de terminaison du service Audio Windows;c:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 BFE;Moteur de filtrage de base;c:\windows\system32\svchost.exe -k LocalServiceNoNetwork [23/05/2008 01:56 21504]
R2 DPS;Service de stratégie de diagnostic;c:\windows\System32\svchost.exe -k LocalServiceNoNetwork [23/05/2008 01:56 21504]
R2 EMDMgmt;Service ReadyBoost;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 FDResPub;Publication des ressources de découverte de fonctions;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
R2 gpsvc;Client de stratégie de groupe;c:\windows\system32\svchost.exe -k GPSvcGroup [23/05/2008 01:56 21504]
R2 IKEEXT;Modules de génération de clés IKE et AuthIP;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
R2 iphlpsvc;Assistance IP;c:\windows\System32\svchost.exe -k NetSvcs [23/05/2008 01:56 21504]
R2 KtmRm;Service KtmRm pour Distributed Transaction Coordinator;c:\windows\System32\svchost.exe -k NetworkService [23/05/2008 01:56 21504]
R2 lltdio;Pilote d’E/S du mappage de découverte de topologie de la couche de liaison;c:\windows\System32\drivers\lltdio.sys [23/05/2008 01:56 47104]
R2 luafv;UAC File Virtualization;c:\windows\System32\drivers\luafv.sys [23/05/2008 01:56 84480]
R2 MMCSS;Planificateur de classes multimédias;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
R2 MpsSvc;Pare-feu Windows;c:\windows\system32\svchost.exe -k LocalServiceNoNetwork [23/05/2008 01:56 21504]
R2 netprofm;Service Liste des réseaux;c:\windows\System32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
R2 NlaSvc;Connaissance des emplacements réseau;c:\windows\System32\svchost.exe -k NetworkService [23/05/2008 01:56 21504]
R2 nsi;Service Interface du magasin réseau;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
R2 PcaSvc;Service de l’Assistant Compatibilité des programmes;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 PEAUTH;PEAUTH;c:\windows\System32\drivers\PEAuth.sys [02/11/2006 10:04 878080]
R2 ProfSvc;Service de profil utilisateur;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
R2 slsvc;Licence du logiciel;c:\windows\System32\SLsvc.exe [23/05/2008 01:57 2623488]
R2 SysMain;Superfetch;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 TabletInputService;Service Panneau de saisie Tablet PC;c:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 tcpipreg;TCP/IP Registry Compatibility;c:\windows\System32\drivers	cpipreg.sys [23/05/2008 01:56 30208]
R2 UxSms;Gestionnaire de sessions du Gestionnaire de fenêtrage;c:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R2 WerSvc;Service de rapport d'erreurs Windows;c:\windows\System32\svchost.exe -k WerSvcGroup [23/05/2008 01:56 21504]
R2 WinDefend;Windows Defender;c:\windows\System32\svchost.exe -k secsvcs [23/05/2008 01:56 21504]
R2 WPDBusEnum;Service Énumérateur d’appareil mobile;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
R3 bowser;Bowser;c:\windows\System32\drivers\bowser.sys [23/05/2008 01:56 69632]
R3 DXGKrnl;LDDM Graphics Subsystem;c:\windows\System32\drivers\dxgkrnl.sys [10/09/2008 02:51 625152]
R3 fdPHost;Hôte du fournisseur de découverte de fonctions;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
R3 iScsiPrt;Pilote iScsiPort;c:\windows\System32\drivers\msiscsi.sys [23/05/2008 01:57 181304]
R3 monitor;Service Pilote de fonction de classe Moniteur Microsoft;c:\windows\System32\drivers\monitor.sys [23/05/2008 01:56 41984]
R3 mpsdrv;Pilote d’autorisation du Pare-feu Windows;c:\windows\System32\drivers\mpsdrv.sys [23/05/2008 01:56 64000]
R3 mrxsmb10;SMB 1.x MiniRedirector;c:\windows\System32\drivers\mrxsmb10.sys [12/11/2008 13:40 212480]
R3 mrxsmb20;SMB 2.0 MiniRedirector;c:\windows\System32\drivers\mrxsmb20.sys [23/05/2008 01:57 78848]
R3 Ph3xIB32;Philips 713x VU PCI TV Card;c:\windows\System32\drivers\Ph3xIB32.sys [03/04/2007 09:43 1131136]
R3 srv2;srv2;c:\windows\System32\drivers\srv2.sys [14/10/2009 02:10 144896]
R3 srvnet;srvnet;c:\windows\System32\drivers\srvnet.sys [23/05/2008 01:57 98304]
R3 tunnel;Pilote de carte miniport Microsoft IPv6 Tunnel;c:\windows\System32\drivers	unnel.sys [23/05/2008 01:56 23040]
R3 umbus;Pilote d’énumérateur UMBus;c:\windows\System32\drivers\umbus.sys [23/05/2008 01:56 34816]
R3 WdiSystemHost;Hôte système de diagnostics;c:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/01/2010 09:14 135664]
S2 TBS;Services de base de module de plateforme sécurisée;c:\windows\System32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S3 Appinfo;Informations d'application;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 BrFiltLo;Brother USB Mass-Storage Lower Filter Driver;c:\windows\System32\drivers\BrFiltLo.sys [02/11/2006 10:38 13568]
S3 BrFiltUp;Brother USB Mass-Storage Upper Filter Driver;c:\windows\System32\drivers\BrFiltUp.sys [02/11/2006 10:37 5248]
S3 CertPropSvc;Propagation du certificat;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 DFSR;Réplication DFS;c:\windows\System32\dfsr.exe [23/05/2008 01:57 2091520]
S3 E1G60;Intel(R) PRO/1000 NDIS 6 Adapter Driver;c:\windows\System32\drivers\E1G60I32.sys [02/11/2006 11:25 117760]
S3 Filetrace;FileTrace;c:\windows\System32\drivers\filetrace.sys [23/05/2008 01:56 27648]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [03/12/2009 22:59 54632]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 IPBusEnum;Énumérateur de bus IP PnP-X;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
S3 KeyIso;Isolation de clé CNG;c:\windows\System32\lsass.exe [14/10/2009 02:10 9728]
S3 lltdsvc;Mappage de découverte de topologie de la couche de liaison;c:\windows\System32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S3 MSiSCSI;Service Initiateur iSCSI de Microsoft;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 MsRPC;MsRPC;c:\windows\System32\drivers\msrpc.sys [23/05/2008 01:56 163384]
S3 NativeWifiP;Filtre NativeWiFi;c:\windows\System32\drivers
wifi.sys [10/09/2008 02:51 148480]
S3 pla;Journaux & alertes de performance;c:\windows\System32\svchost.exe -k LocalServiceNoNetwork [23/05/2008 01:56 21504]
S3 PNRPAutoReg;Service de publication des noms d’ordinateurs PNRP;c:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted [23/05/2008 01:56 21504]
S3 SCPolicySvc;Stratégie de retrait de la carte à puce;c:\windows\system32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/10/2009 15:24 348824]
S3 SDRSVC;Sauvegarde Windows;c:\windows\system32\svchost.exe -k SDRSVC [23/05/2008 01:56 21504]
S3 SessionEnv;Configuration des services Terminal Server;c:\windows\System32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 sffp_mmc;SFF Storage Protocol Driver for MMC;c:\windows\System32\drivers\sffp_mmc.sys [02/11/2006 09:51 12800]
S3 SLUINotify;Service de notification de l’interface utilisateur SL;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S3 THREADORDER;Serveur de priorités des threads;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S3 TrustedInstaller;Programme d’installation de modules Windows;c:\windows\servicing\TrustedInstaller.exe [23/05/2008 01:57 39424]
S3 tssecsrv;Terminal Services Security Filter Driver;c:\windows\System32\drivers	ssecsrv.sys [23/05/2008 01:56 23552]
S3 UI0Detect;Détection de services interactifs;c:\windows\System32\UI0Detect.exe [23/05/2008 01:56 35840]
S3 uliagpkx;Uli AGP Bus Filter;c:\windows\System32\drivers\ULIAGPKX.SYS [02/11/2006 09:35 58472]
S3 wcncsvc;Windows Connect Now - Registre de configuration;c:\windows\System32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S3 WcsPlugInService;Système de couleurs Windows;c:\windows\system32\svchost.exe -k wcssvc [23/05/2008 01:56 21504]
S3 WdiServiceHost;Service hôte WDIServiceHost;c:\windows\System32\svchost.exe -k wdisvc [23/05/2008 01:56 21504]
S3 Wecsvc;Collecteur d'événements de Windows;c:\windows\system32\svchost.exe -k NetworkService [23/05/2008 01:56 21504]
S3 wercplsupport;Prise en charge de l’application Rapports et solutions aux problèmes du Panneau de configuration;c:\windows\System32\svchost.exe -k netsvcs [23/05/2008 01:56 21504]
S3 WinRM;Gestion à distance de Windows (Gestion WSM);c:\windows\System32\svchost.exe -k NetworkService [23/05/2008 01:56 21504]
S3 Wlansvc;Service de configuration automatique WLAN;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [23/05/2008 01:56 21504]
S3 WPCSvc;Contrôle parental;c:\windows\system32\svchost.exe -k LocalServiceNetworkRestricted [23/05/2008 01:56 21504]
S4 adp94xx;adp94xx;c:\windows\System32\drivers\adp94xx.sys [02/11/2006 08:36 420968]
S4 adpahci;adpahci;c:\windows\System32\drivers\adpahci.sys [02/11/2006 08:36 297576]
S4 arcsas;arcsas;c:\windows\System32\drivers\arcsas.sys [02/11/2006 08:36 67688]
S4 Brserid;Brother MFC Serial Port Interface Driver (WDM);c:\windows\System32\drivers\BrSerId.sys [02/11/2006 10:22 71808]
S4 BrSerWdm;Brother WDM Serial driver;c:\windows\System32\drivers\BrSerWdm.sys [02/11/2006 10:36 62336]
S4 BrUsbMdm;Brother MFC USB Fax Only Modem;c:\windows\System32\drivers\BrUsbMdm.sys [02/11/2006 10:37 12160]
S4 circlass;Consumer IR Devices;c:\windows\System32\drivers\circlass.sys [02/11/2006 09:55 35328]
S4 Crusoe;Transmeta Crusoe Processor Driver;c:\windows\System32\drivers\crusoe.sys [02/11/2006 09:30 38912]
S4 elxstor;elxstor;c:\windows\System32\drivers\elxstor.sys [02/11/2006 08:36 316520]
S4 HpCISSs;HpCISSs;c:\windows\System32\drivers\HpCISSs.sys [02/11/2006 08:36 37480]
S4 iaStorV;Intel RAID Controller Vista;c:\windows\System32\drivers\iaStorV.sys [02/11/2006 08:36 232040]
S4 IPMIDRV;IPMIDRV;c:\windows\System32\drivers\IPMIDrv.sys [02/11/2006 09:42 65536]
S4 iteraid;ITERAID_Service_Install;c:\windows\System32\drivers\iteraid.sys [02/11/2006 08:36 35944]
S4 LSI_FC;LSI_FC;c:\windows\System32\drivers\lsi_fc.sys [02/11/2006 08:36 65640]
S4 LSI_SAS;LSI_SAS;c:\windows\System32\drivers\lsi_sas.sys [02/11/2006 08:36 65640]
S4 LSI_SCSI;LSI_SCSI;c:\windows\System32\drivers\lsi_scsi.sys [02/11/2006 08:36 65640]
S4 Mcx2Svc;Service Windows Media Center Extender;c:\windows\system32\svchost.exe -k LocalService [23/05/2008 01:56 21504]
S4 megasas;megasas;c:\windows\System32\drivers\megasas.sys [02/11/2006 08:36 28776]
S4 mpio;Microsoft Multi-Path Bus Driver;c:\windows\System32\drivers\mpio.sys [02/11/2006 09:52 78952]
S4 msahci;msahci;c:\windows\System32\drivers\msahci.sys [02/11/2006 09:51 23144]
S4 msdsm;Microsoft Multi-Path Device Specific Module;c:\windows\System32\drivers\msdsm.sys [02/11/2006 09:52 80488]
S4 nfrd960;nfrd960;c:\windows\System32\drivers
frd960.sys [02/11/2006 08:36 45160]
S4 ntrigdigi;N-trig HID Tablet Driver;c:\windows\System32\drivers
trigdigi.sys [02/11/2006 08:36 20608]
S4 nvstor;nvstor;c:\windows\System32\drivers
vstor.sys [02/11/2006 08:36 40040]
S4 ql2300;QLogic Fibre Channel Miniport Driver;c:\windows\System32\drivers\ql2300.sys [02/11/2006 08:36 900712]
S4 ql40xx;QLogic iSCSI Miniport Driver;c:\windows\System32\drivers\ql40xx.sys [02/11/2006 08:36 106088]
S4 SiSRaid4;SiSRaid4;c:\windows\System32\drivers\sisraid4.sys [02/11/2006 08:36 71784]
S4 uliahci;uliahci;c:\windows\System32\drivers\uliahci.sys [02/11/2006 08:36 235112]
S4 ulsata2;ulsata2;c:\windows\System32\drivers\ulsata2.sys [02/11/2006 08:36 115816]
S4 usbcir;eHome Infrared Receiver (USBCIR);c:\windows\System32\drivers\usbcir.sys [02/11/2006 09:55 68608]
S4 ViaC7;VIA C7 Processor Driver;c:\windows\System32\drivers\viac7.sys [02/11/2006 09:30 39424]
S4 vsmraid;vsmraid;c:\windows\System32\drivers\vsmraid.sys [02/11/2006 08:36 112232]
S4 WacomPen;Wacom Serial Pen HID Driver;c:\windows\System32\drivers\wacompen.sys [02/11/2006 09:52 20608]
S4 Wd;Microsoft Watchdog Timer Driver;c:\windows\System32\drivers\wd.sys [02/11/2006 09:54 19560]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
NetworkServiceNetworkRestricted	REG_MULTI_SZ   	PolicyAgent
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc ehstart
WerSvcGroup	REG_MULTI_SZ   	wersvc
swprv	REG_MULTI_SZ   	swprv
regsvc	REG_MULTI_SZ   	RemoteRegistry
wcssvc	REG_MULTI_SZ   	WcsPlugInService
DcomLaunch	REG_MULTI_SZ   	PlugPlay DcomLaunch
wdisvc	REG_MULTI_SZ   	WdiServiceHost
sdrsvc	REG_MULTI_SZ   	sdrsvc
secsvcs	REG_MULTI_SZ   	WinDefend
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
GPSvcGroup	REG_MULTI_SZ   	GPSvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
AeLookupSvc
wercplsupport
Themes
CertPropSvc
SCPolicySvc
lanmanserver
gpsvc
IKEEXT
AudioSrv
FastUserSwitchingCompatibility
Nla
NWCWorkstation
SRService
Wmi
WmdmPmSp
TermService
wuauserv
BITS
ShellHWDetection
LogonHours
PCAudit
helpsvc
uploadmgr
iphlpsvc
seclogon
AppInfo
msiscsi
MMCSS
ProfSvc
EapHost
winmgmt
schedule
SessionEnv
browser
hkmsvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]

2010-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: &Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
FF - component: c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-sacsvr



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 12:15
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-02-03  12:17:43
ComboFix-quarantined-files.txt  2010-02-03 11:17
ComboFix2.txt  2010-02-03 10:22
ComboFix3.txt  2010-02-02 15:11

Avant-CF: 100 197 978 112 octets libres
Après-CF: 100 160 225 280 octets libres

- - End Of File - - 576FB36FDAB420041FB088DF85691CDA

sKe69 · Answer

Impec ....




dis moi comment va le PC mainteant ... du mieux ? 




puis fait ceci :


1- refait un coup de CCleaner ( registre compris ) 


======================

2- Réutilise GMER pour un contrôle :


!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Clique droit / "executer en tant qu'admin..." sur gmer.exe sur le bureau. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 

> poste le rapport via "Cijoint" stp ...

67nico · Answer

Re,

ca m'a l'air d'être plutot bien nettoyer : avant antivir me détecter souvent des rootkit etc.


Je fais le scan gmer et poste le rapport une fois fini.


a+https://forums.commentcamarche.net/forum/affich-16410595-cheval-de-troie-et-ralentissement?Acces=1

sKe69 · Answer

oki....


j'attends le rapport donc ... ;)

Cheval de Troie et ralentissement

31 réponses

Votre réponse

Discussions similaires

Newsletters