Cheval troie backdoor.generic11.abob.dropper

Réponse 81 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Cela n'a pas marché. Toujours le même message avec gmer.

-------------------------------------------------------------

Ouvre le bloc-notes ( demarrer --> tous les programmes --> accessoires --> bloc-notes ) et copie le texte en citation ci-dessous.

copy c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys C:\atapi.sys

Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir
Il y a deux lignes en bas de la fenêtre :
- la première pour le nom : tape copie.bat
- la deuxième pour le type : clique sur l'onglet pour faire apparaitre tous les fichiers (*.* )

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

Puis, enfin, click droit sur copie.bat et choisis exécuter en tant qu'administrateur.

------------------------------------------------------------

Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe

2/ Copie le texte ci-dessous :

Files to move:
C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys

Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.

* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

4/ The Avenger va automatiquement faire ce qui suit:

* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonjour, je ne peux extraire avenger: unexpected end of archive, comment faire?

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

j'ai essayé mais cette fois il est noté: the archive is either in unknow format or damaged

Réponse 82 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Peux-tu réessayer ?

Supprime le fichier .zip que tu as téléchargé.

Pour l'extraire, fais le ainsi :

Click droit sur le fichier et choisis extraire tout.

A+

Réponse 83 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Je viens de tester le lien. Aucun problème.
Sur le lien suivant, télécharge une version d'avenger que j'ai renommé.
http://senduit.com/3b5980

Extrais l'archive bebete.zip sur le bureau.
Tu obtiendras un dossier bebete et un fichier bebete.exe ( c'est avenger.exe ).

Suis ensuite les consignes.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\atapi.sys" not found!
File move operation "C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Réponse 84 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Stardust.dz

Tu as oublié de faire la première manip avec l'invite de commandes MSDos.
https://forums.commentcamarche.net/forum/affich-16900920-cheval-troie-backdoor-generic11-abob-dropper?page=5#92
Ensuite passe Avenger comme indiqué.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

je l'ai fait et il y a eu un pb comme je l'avais indiqué, :voila ce qui s'afiche:
Pour pouvoir utiliser l'utilitaire sfc, vous devez être un administrateur
exécutant une session de console.

Réponse 85 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Ta réponse n'est pas visible.
Il y a parfois des soucis de cet ordre.
Parfois en postant une réponse, cela permet de visualiser le post précédent.

;-)

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

oui je sais c'est pour ca que je recois aussi les reponses par mail, ceci dit j'ai fait le truc de sfc et voila ce qui c'est affiché:voila ce qui s'afiche:
Pour pouvoir utiliser l'utilitaire sfc, vous devez être un administrateur
exécutant une session de console.

Réponse 86 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

lance avenger ( avec le click droit --> ..... ) et utilise le script suivant :

Files to move:
c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys|c:\Windows\System32\drivers\atapi.sys

Et poste le rapport.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys" for move operation
File move operation "c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys|c:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Completed script processing.

*******************

Finished! Terminate.

Réponse 87 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Bon,

On va être obliger de faire une manip à la main.
Trop de restrictions avec Vista.

Ouvre le poste de travail et navigue jusqu'au fichier :

c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys

Copie le fichier atapi.sys et colle le en C:\ ( à la racine de C: ).
Vérifie qu'il s'appelle bien atapi.sys.

Ensuite, reprends la manip avec Avenger avec le script

Files to move:
C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

slt, ce fichier n'existe pas, voila ce qui existe:
x86_mshdc.inf.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_0ebe6f480374ffad
x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c
x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b
x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c
x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8

Réponse 88 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

copie le atapi.sys du dossier x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

je l'ai trouvé, je relance avenger, si je tarde à répondre c'est à cause de internet car à chaque fois qu'il y aredemarrage du pc la connexion c'est comme elle veut, une fois c'est oui et 10 non (la ou je suis il n'y a pas de cable mais telephone) donc dsl

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not move file "C:\atapi.sys"
File move operation "C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Completed script processing.

*******************

Finished! Terminate.

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonjour, si j'ai bien compris, ca n'a pas marché, qu'est ce que je dois faire? y a t il une solution ou vais je droit au formatage?
merci bcp pour tes réponses et ton aide

Réponse 89 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

startdust.dz

On va éviter le formatage, je l'espère.

Il y a ce fichier atapi.sys qu'il faut réussir à remplacer par une copie saine.

Les différents messages disent qu'il est impossible de copier le fichier, soit parce qu'il est introuvable, soit parce qu'il ne peur être déplacé.

Ce sont les restrictions de Vista qui bloquent la réparation.

Pour cela, plusieurs raisons possibles :

- tu ne disposes pas des droits administrateurs.
Vérifie que ton compte est un compte administrateur et non un compte utilisateur standard.
( panneau de configuration --> comptes d'utilisateur --> regarde si il est écrit administrateur de l'ordinateur ). Sinon, change ce paramètre avec modifier votre type de compte.

- Autre paramètre, désactiver le contrôle de comptes utilisateurs ou UAC.
Suis le tuto pour désactiver temporairement ce contrôle.
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Ensuite vérifie bien que le fichier C:\atapi.sys existe.

Autre chose, quand tu lances Avenger, tu le ais, j'imagine, avec le click droit --> exécuter en ....

Réponds moi à ces questions, fais les réglages précisés.

On verra ensuite comment s'y prendre.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonjour, voila j'ai tout vérifié:
- j'ai un seul compte sur le pc et il est administrateur
- j'ai désactivé le contrôle de comptes utilisateurs
- le fichier C:\atapi.sys existe
- pour avenger en fait je n'ai jamais utilisé le double clic pour ouvrir les fichiers, j'utilise l'option ouvrir les elements par simple clic (souligner la légende comme dans le navigateur), c'est peut etre la cause, je viens de changer vers le mode d'afichage classic des dossiers , donc maintenant si je dois relancer je ferai click droit...

voila j'espere qu'il y aura une solution

merci

Réponse 90 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Je crois bien que c'est la raison.
Avenger doit être lancé sous Vista avec l'élévation de privilèges ( click droit --> ... )

Relance le avec le script suivant :

Files to move:
C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

et bien ca n'a pas marché :.(

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not move file "C:\atapi.sys"
File move operation "C:\atapi.sys|c:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Completed script processing.

*******************

Finished! Terminate.

Réponse 91 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Il y a encore d'autres pistes.

Tu vas passer au mode sans échec.
Redémarre le PC et tapote la touche F5 ou F8.
A l'invite suivante, choisis mode sans échec.
Suis les invites et choisis ton compte.

lance OTL sur ton bureau
Copie/colle le texte suivant sous Customs Scans/Fixes.

:OTL

:Fixes
c:\Windows\System32\drivers\atapi.sys|C:\atapi.sys /replace

:Commands
[emptytemp]

Clique sur RunFix.
Le PC va redémarrer .
Sous windows, un rapport va s'ouvrir.
Poste le.

Note : si tu ne le trouves pas , c'est un fichier . log en C:\_OTL.

A+

Réponse 92 / 105

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

dsl du retard mais à chaque redemarrage, il y a le pb de la connexion, bref voila le rapport:

All processes killed
Error: Unable to interpret <OTL > in the current context!
Error: Unable to interpret <:Fixes > in the current context!
Error: Unable to interpret <c:\Windows\System32\drivers\atapi.sys|C:\atapi.sys /replace > in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: ilhem
->Temp folder emptied: 1581180 bytes
->Temporary Internet Files folder emptied: 92384639 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1651 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1343522 bytes
RecycleBin emptied: 734856960 bytes

Total Files Cleaned = 792,00 mb

OTL by OldTimer - Version 3.1.37.0 log created on 03152010_191852

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

pas de pb, mais pr internet non c'est pas un pb informatique, mais un pb de connexion et de reseau, la ou je suis c'est pas bien branché donc à chaque fois il y a des pb lors de l'identification du non d'utilisateur et du mot de passe, anyway, je refais et je poste des que la connexion revient

A+

Réponse 93 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Oh la .
Excuse moi. cette fois-ci c'est de ma faute.
Une erreur de script.
( Pour internet, c'est récent ces problèmes ? )

Le script est :

:OTL

:Files
c:\Windows\System32\drivers\atapi.sys|C:\atapi.sys /replace

:Commands
[emptytemp]

Refais la manip en mode sans échec, stp.

Merci

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonsoir, je viens de mettre 1h30 pour me connecter :( voila le rapport:

All processes killed
========== OTL ==========
========== FILES ==========
Unable to replace file: c:\Windows\System32\drivers\atapi.sys with C:\atapi.sys without a reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: ilhem
->Temp folder emptied: 1334947 bytes
->Temporary Internet Files folder emptied: 4319190 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 589 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,00 mb

OTL by OldTimer - Version 3.1.37.0 log created on 03152010_202556

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Réponse 94 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

On va voir si c'est bon ou pas.

Relance gmer et poste le rapport.

A+

Réponse 95 / 105

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonsoir, durant le scan de gmer le pc c'est arreté 2x en signalant au redemarage qu'un pb empeche windows de fonctionner correctement, voici le rapport

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-15 23:48:39
Windows 6.0.6002 Service Pack 2
Running: 7y7z8mmd.exe; Driver: C:\Users\ilhem\AppData\Local\Temp\uglyraob.sys

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x832DC014]
init C:\Windows\system32\drivers\nvax.sys entry point in "init" section [0x86DD3A0C]

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\system32\svchost.exe[1144] ntdll.dll!NtProtectVirtualMemory 76FF4D34 5 Bytes JMP 0070000A
.text C:\Windows\system32\svchost.exe[1144] ntdll.dll!NtWriteVirtualMemory 76FF5674 5 Bytes JMP 0071000A
.text C:\Windows\system32\svchost.exe[1144] ntdll.dll!KiUserExceptionDispatcher 76FF5DC8 5 Bytes JMP 006F000A
.text C:\Windows\Explorer.EXE[1876] ntdll.dll!NtProtectVirtualMemory 76FF4D34 5 Bytes JMP 0045000A
.text C:\Windows\Explorer.EXE[1876] ntdll.dll!NtWriteVirtualMemory 76FF5674 5 Bytes JMP 0046000A
.text C:\Windows\Explorer.EXE[1876] ntdll.dll!KiUserExceptionDispatcher 76FF5DC8 5 Bytes JMP 0044000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc)
AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 84C5DCA1

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Réponse 96 / 105

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonjour Verni29,

j'ai fait un scan malwarebytes et aucune infection detectée, ceci dit j'ai des pb de fonctionnement, comme je l'ai dit precedament, durant le scan de gmer le pc a redemarrer en signalant que windows avait un pb de fonctionnement et là ce matin je trouve un msg d'erreur pour acrobat 8 (concretement je n'etais pas bien reveillée, donc je ne sais plus exactement ce que disait le msg est ce que c'est acrobat 8 ou reader 8) dans tout les cas est ce que je dois réinstaller la suite CS3 ou la désinstaller et me contenter de télecharger reader 9, (en fait dans cette suite je n'ai besoin que du reader et acrobat illustrator pour creer des .eps, le pb c'est que sur le net je n'ai pas pu trouvé de lien pour telecharger l'illustrator seul, et d'ailleur c'est un prog je ne sais tjs pas utilisé, meme apres avoir lu, donc soit c'est trop compliqué soit je suis devenue trop b....et trop v.....pour c'est trucs :.(

voila pour les news

Réponse 97 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Stardust.dz,

On verra ensuite pour acrobat.

la manip pour atapi.sys n'a toujours pas marché.

Il reste deux possibilités :

- La première avec le cd de Vista pour utiliser la console de récupération.
As-tu le cd de Vista ?

- la deuxième qu'on n'a pas pu utiliser, combofix.
J'aimerais qu'on utilise ComboFix.

Je te remets un lien pour désactiver AVG :
https://support.avg.com#num-2559
Partie " Comment désactiver temporairement AVG ? "
Si tu n'arrives pas à le désactiver, le plus simple est de le désinstaller durant les manips avec Combofix . Tu le réinstalleras ensuite.

Une fois désactiver ou désinstaller AVG, passe ComboFix.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

Bonjour,
- J'ai desinstallé AVG et lancé Combofix, apres pour ouvrir internet explorer, voici le msg obtenu:Tentative d'opération non autorisée sur clé du registre marquée pour suppression, je me suis connectée via la mise à jour de pc nokia suite,
- j'ai le cd de vista
- est ce que je réinstalle AVG ou me conseille tu un autre antivir?
- voici le rapport de combofix

ComboFix 10-03-15.04 - ilhem 16/03/2010 9:58.1.1 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1023.171 [GMT 1:00]
Lancé depuis: c:\users\ilhem\Desktop\ComboFix.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\FlashGet Network
c:\programdata\Microsoft\Windows\Start Menu\Programs\USB2.0 PC Camera
c:\programdata\Microsoft\Windows\Start Menu\Programs\USB2.0 PC Camera \AMCap.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\USB2.0 PC Camera \Uninstall.lnk
c:\users\ilhem\AppData\Roaming\BITS
c:\users\ilhem\AppData\Roaming\BITS\BITS.ini
c:\users\ilhem\AppData\Roaming\BITS\DHTTable.dat
c:\users\ilhem\AppData\Roaming\BITS\ProxyList.ini

Une copie infectée de c:\windows\system32\drivers\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-16 au 2010-03-16 ))))))))))))))))))))))))))))))))))))
.

2010-03-16 09:10 . 2010-03-16 09:13 -------- d-----w- c:\users\ilhem\AppData\Local\temp
2010-03-16 09:10 . 2010-03-16 09:10 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-14 21:40 . 2008-01-19 07:41 21560 ----a-w- C:\atapi.sys
2010-03-13 14:17 . 2010-03-13 14:17 -------- d-----w- C:\_OTL
2010-03-13 12:33 . 2010-03-13 13:11 -------- d-----w- c:\program files\SEAF
2010-03-11 21:16 . 2010-03-11 21:17 -------- d-----w- C:\rsit
2010-03-11 17:56 . 2010-03-11 17:57 -------- d-----w- c:\users\ilhem\AppData\Local\MigWiz
2010-03-09 16:42 . 2010-03-09 16:42 41958 ----a-w- C:\cc_20100309_174137.reg
2010-03-08 19:02 . 2010-03-08 19:02 -------- d-----w- c:\program files\Common Files\Java
2010-03-08 09:19 . 2010-03-08 09:19 -------- d-----w- c:\program files\ESET
2010-03-07 22:46 . 2010-03-07 22:46 398 ----a-w- C:\fix.reg
2010-03-07 22:17 . 2010-03-13 13:32 -------- d-----w- C:\$AVG8.VAULT$
2010-03-07 21:07 . 2010-03-07 21:07 -------- d-----w- c:\users\ilhem\AppData\Roaming\Malwarebytes
2010-03-07 21:06 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-07 21:06 . 2010-03-07 21:06 -------- d-----w- c:\programdata\Malwarebytes
2010-03-07 21:06 . 2010-03-11 18:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-07 21:06 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-06 20:02 . 2010-03-06 20:02 -------- d-----w- c:\users\ilhem\AppData\Local\Threat Expert
2010-03-06 20:01 . 2010-03-06 20:01 1792 ----a-w- C:\UsbFix_Upload_Me_PC-de-ilhem.zip
2010-03-06 18:42 . 2010-03-06 18:42 -------- d-----w- c:\windows\BDOSCAN8
2010-03-06 18:10 . 2010-03-06 20:48 -------- d-----w- c:\program files\Spyware Doctor
2010-03-06 09:10 . 2010-03-06 09:10 -------- d-----w- c:\users\ilhem\Nouveau dossier
2010-03-04 17:12 . 2010-03-04 17:12 -------- d-----w- C:\Rooter$
2010-03-04 17:00 . 2010-03-04 17:00 -------- d-----w- c:\program files\Trend Micro
2010-02-24 08:00 . 2010-01-23 09:26 2048 ----a-w- c:\windows\system32\tzres.dll
2010-02-24 07:59 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-02-24 07:59 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc.dll
2010-02-24 07:59 . 2010-01-25 08:21 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-02-24 07:59 . 2010-01-25 08:21 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-02-24 07:59 . 2010-01-25 08:21 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-02-24 07:59 . 2010-01-25 08:21 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-02-24 07:59 . 2010-01-25 12:00 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-02-24 07:59 . 2010-01-25 12:00 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-02-24 07:59 . 2010-01-25 11:58 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-02-24 07:59 . 2010-01-06 15:39 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-02-24 07:59 . 2010-01-06 15:38 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-02-24 07:59 . 2010-01-06 13:30 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-16 09:14 . 2010-01-25 19:29 -------- d-----w- c:\programdata\FLEXnet
2010-03-16 09:12 . 2008-12-25 21:08 680 ----a-w- c:\users\ilhem\AppData\Local\d3d9caps.dat
2010-03-16 08:38 . 2006-11-02 15:48 677970 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-16 08:38 . 2006-11-02 15:48 127420 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-16 08:30 . 2008-12-27 21:37 -------- d-----w- c:\programdata\avg8
2010-03-15 16:53 . 2008-12-28 06:52 -------- d-----w- c:\users\ilhem\AppData\Roaming\Azureus
2010-03-13 11:07 . 2009-09-25 10:25 19944 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-03-11 18:44 . 2009-04-17 21:28 -------- d-----w- c:\users\ilhem\AppData\Roaming\dvdcss
2010-03-11 18:44 . 2008-12-28 07:57 -------- d-----w- c:\users\ilhem\AppData\Roaming\vlc
2010-03-11 18:44 . 2008-12-27 20:55 -------- d-----w- c:\program files\CCleaner
2010-03-09 05:23 . 2009-05-26 09:49 -------- d-----w- c:\users\ilhem\AppData\Roaming\Skype
2010-03-08 23:06 . 2009-05-26 10:22 -------- d-----w- c:\users\ilhem\AppData\Roaming\skypePM
2010-03-08 19:02 . 2008-12-28 06:47 -------- d-----w- c:\program files\Java
2010-03-05 11:08 . 2009-06-21 18:03 -------- d-----w- c:\programdata\Babylon
2010-03-04 11:44 . 2009-12-27 16:37 -------- d-----w- c:\programdata\NCH Swift Sound
2010-03-04 11:44 . 2009-12-27 16:35 -------- d-----w- c:\users\ilhem\AppData\Roaming\NCH Swift Sound
2010-02-25 07:12 . 2008-12-25 21:10 61384 ----a-w- c:\users\ilhem\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 08:16 . 2009-10-03 10:30 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-10 19:30 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-10 06:08 . 2009-05-16 19:27 -------- d-----w- c:\program files\Google
2010-01-30 19:06 . 2008-12-28 07:59 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-29 10:29 . 2010-01-29 10:29 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbF20F.tmp.exe
2010-01-26 08:08 . 2009-05-02 15:04 -------- d-----w- c:\program files\QuickTime
2010-01-26 07:20 . 2009-05-16 15:20 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-26 07:18 . 2009-04-16 17:43 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-25 19:15 . 2010-01-25 19:15 -------- d-----w- c:\programdata\ALM
2010-01-25 18:37 . 2010-01-25 18:37 -------- d-----w- c:\program files\Bonjour
2010-01-25 18:31 . 2010-01-25 18:31 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-01-21 06:26 . 2009-11-13 11:10 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-02 06:38 . 2010-01-22 09:35 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-22 09:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-22 09:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-22 09:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-25 02:10 . 2009-12-25 02:10 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-20 19:56 . 2009-12-08 17:04 439816 ----a-w- c:\users\ilhem\AppData\Roaming\Real\Update\setup3.09\setup.exe
2009-12-17 16:14 . 2008-12-28 06:48 411368 ----a-w- c:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detector"="DevDetect.exe -autorun" [X]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-13 4351216]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-13 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detector"="DevDetect.exe -autorun" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"tsnp2std"="c:\windows\tsnp2std.exe" [2007-05-10 270336]
"snp2std"="c:\windows\vsnp2std.exe" [2007-09-28 344064]
"SoundMan"="SOUNDMAN.EXE" [2008-09-10 604704]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-12-30 198160]
"Acrobat Assistant 8.0"="i:\programmes\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

c:\users\ilhem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-01 09:21 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28 1233920 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):0d,ce,cf,2b,e9,41,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2602480268-3408774824-3291414622-1000]
"EnableNotificationsRef"=dword:00000001

R2 gupdate1ca1c5e44710473;Service Google Update (gupdate1ca1c5e44710473);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-13 133104]
S0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\DRIVERS\SI3112r.sys [2007-08-29 116264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-03-16 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-13 21:31]

2010-03-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-13 21:36]

2010-03-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-13 21:36]

2010-03-15 c:\windows\Tasks\User_Feed_Synchronization-{2F0061E7-C599-4D13-BED2-8CD586BA4D7E}.job
- c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
IE: Ajouter au fichier PDF existant - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - i:\programmes\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Translate this web page with Babylon - i:\babylon\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - i:\babylon\Utils\BabylonIEPI.dll/Action.htm
TCP: {75BF29ED-9BBF-44D7-BDE6-F6AA9F179262} = 41.221.20.4 8.8.8.8
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
AddRemove-Notification de cadeaux MSN - c:\users\ilhem\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-16 10:13
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.032\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.032"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.abr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.abr"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ani\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ani"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.arw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.arw"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bay\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.bay"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.bmp"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.bw"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cr2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.cr2"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.crw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.crw"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cs1\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.cs1"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cur\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.cur"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dcr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.dcr"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dcx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.dcx"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dib\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.dib"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.djv\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.djv"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.djvu\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.djvu"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dng\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.dng"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.emf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.emf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eps\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.eps"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.erf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.erf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.fff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.fff"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.fpx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.fpx"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.gif"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hdr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.hdr"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.icl\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.icl"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.icn\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.icn"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.iff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.iff"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ilbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ilbm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.int\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.int"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.inta\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.inta"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.iw4\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.iw4"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.j2c\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.j2c"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.j2k\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.j2k"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jbr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jbr"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jfif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jfif"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jif"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jp2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jp2"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpc"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpe\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpe"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpeg\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpeg"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpg"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpk\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpk"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.jpx"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.kdc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.kdc"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.lbm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.mef"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mos\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.mos"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mrw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.mrw"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.nef"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.orf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.orf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pbm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pbr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pbr"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pcd\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pcd"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pct\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pct"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pcx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pcx"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pef"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pgm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pgm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pic\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pic"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pict\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pict"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pix\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pix"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.png"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ppm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ppm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.psd\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.psd"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.psp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.psp"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pspbrush\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pspbrush"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pspimage\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.pspimage"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.raf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.raf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ras\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ras"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.raw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.raw"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rgb\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.rgb"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rgba\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.rgba"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rle\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.rle"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rsb\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.rsb"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rw2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.rw2"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sgi\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.sgi"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sr2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.sr2"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.srf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.srf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tga\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.tga"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.thm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.thm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.tif"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tiff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.tiff"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ttc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ttc"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ttf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.ttf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v25po\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.v25po"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v25pp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.v25pp"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v25ppf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.v25ppf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.wbm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wbmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.wbmp"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.wmf"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.xbm"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.xif"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.xmp"

[HKEY_USERS\S-1-5-21-2602480268-3408774824-3291414622-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xpm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee Pro 2.5.xpm"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3868)
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\CNAB4RPK.EXE
c:\windows\system32\conime.exe
c:\program files\Common Files\ACD Systems\FR\DevDetect.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Windows Media Player\wmplayer.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\Yahoo!\Messenger\ymsgr_tray.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-03-16 10:23:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-16 09:23

Avant-CF: 40 882 626 560 octets libres
Après-CF: 40 828 010 496 octets libres

- - End Of File - - 11DD6B00FC5A3117C4DDF0626D4DCB45

Réponse 98 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Combofix a , j'espère, fait le boulot :
Une copie infectée de c:\windows\system32\drivers\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p

1/ Relance gmer.
Poste le rapport.

2/ AVG est un bon produit.
garde le ou remplace le par Antivir qui est recommandé sur l'ensemble des forums de sécurité.

Télécharge Antivir.
https://www.avira.com/fr/free-antivirus-windows

IMPORTANT : Commence par désactiver ton antivirus actuel pour éviter les conflits.

Suis le tuto pour installer Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

* Mets à jour Antivir et lance un scan complet
* Pour cela, clique sur l'onglet Protection Locale puis Contrôler
* Choisis les éléments à scanner ( disques durs locaux ).
* Lance le scan en cliquant sur la loupe.

Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.

A+

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

slt il m'est impossible de lancer quoi que ce soit à partir du bureau ou du poste de travail, le meme msg revient tjs:
tentative d'operation non autorisée sur une clé du registre marquée pour suppression

je fais quoi dans ce cas?

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

j'ai installé avira, voici le rapport du scan

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 16 mars 2010 15:11

La recherche porte sur 1860802 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : ilhem
Nom de l'ordinateur : PC-DE-ILHEM

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 14:03:46
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 14:04:12
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 14:04:24
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 14:04:44
VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 14:04:44
VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 14:04:44
VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 14:04:44
VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 14:04:44
VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 14:04:45
VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 14:04:45
VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 14:04:45
VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 14:04:45
VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 14:04:46
VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 14:04:48
VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 14:04:49
VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 14:04:51
VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 14:04:53
VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 14:04:53
VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 14:04:53
VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 14:04:53
VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 14:04:53
VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 14:04:54
VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 14:04:54
VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 14:04:54
VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 14:04:54
VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 14:04:55
VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 14:04:55
VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 14:04:55
VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 14:04:56
VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 14:04:56
VBASE031.VDF : 7.10.5.107 32768 Bytes 16/03/2010 14:04:57
Version du moteur : 8.2.1.180
AEVDF.DLL : 8.1.1.3 106868 Bytes 16/03/2010 14:05:24
AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 16/03/2010 14:05:23
AESCN.DLL : 8.1.5.0 127347 Bytes 16/03/2010 14:05:20
AESBX.DLL : 8.1.2.0 254323 Bytes 16/03/2010 14:05:25
AERDL.DLL : 8.1.4.2 479602 Bytes 16/03/2010 14:05:19
AEPACK.DLL : 8.2.1.0 426356 Bytes 16/03/2010 14:05:16
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 16/03/2010 14:05:14
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 16/03/2010 14:05:13
AEHELP.DLL : 8.1.10.1 237942 Bytes 16/03/2010 14:05:04
AEGEN.DLL : 8.1.2.0 373107 Bytes 16/03/2010 14:05:00
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.12.2 188790 Bytes 16/03/2010 14:04:59
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 16/03/2010 14:05:26
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, I:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 16 mars 2010 15:11

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ymsgr_tray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NclUSBSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ServiceLayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCSuite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'vsnp2std.exe' - '1' module(s) sont contrôlés
Processus de recherche 'tsnp2std.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CNAB4RPK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'62' processus ont été contrôlés avec '62' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '48' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\atapi.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\Users\ilhem\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LF8EC36Y\swflash[1].cab
[0] Type d'archive: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'I:\'

Début de la désinfection :
C:\Qoobox\Quarantine\C\Windows\System32\drivers\atapi.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c00a790.qua' !

Fin de la recherche : mardi 16 mars 2010 16:43
Temps nécessaire: 1:27:55 Heure(s)

La recherche a été effectuée intégralement

25018 Les répertoires ont été contrôlés
364713 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
364711 Fichiers non infectés
2345 Les archives ont été contrôlées
3 Avertissements
2 Consignes

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180 > stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

OK,

Antivir n'a rien trouvé ( un fichier dans la quarantaine de combofix ).

Pour ton problème de message, redémarre le PC et regarde si tu as encore ces messages.

A+

Réponse 99 / 105

stardust.dz Messages postés 146 Date d'inscription Statut Membre Dernière intervention

slt, je panique un peu, je ne peux plus lancer aucune application soit on me dit tentative d'operation non autorisée sur une clé du registre marquée pour suppression ou par exple pour word: aucun programme n'est associé à ce fichier pour executer cette action. créer une association en utilisant l'application Définir les associations dans le panneau de configuration, je ne peux plus acceder à rien, est ce combofix qui a fait ça?

là je m'inquiète :{

Réponse 100 / 105

verni29 Messages postés 6699 Date d'inscription Statut Contributeur sécurité Dernière intervention 180

Re,

Non, ce n'est pas combofix qui est responsable. Il n'a supprimé que ce qu'il a repéré et il a sans doute réparé atapi.sys.

Le message d'erreur est bien identifié comme une erreur connue de windows :
1018 Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression.

Redémarre en mode sans échec avec prise en charge réseau pour avoir accès au net.

Fais ceci :

1/ lance OTL et clique sur quick scan .
Poste le rapport obtenu.

2/ Lance gmer et poste le rapport obtenu.

3/ tous les programmes --> accessoires --> invite de commandes.
Tape sfc /scannow

Ceci pour réparer les fichiers systèmes.

Je me rencarde sur ces messages d'erreus.

A+

Cheval troie backdoor.generic11.abob.dropper

105 réponses

Votre réponse

Discussions similaires